Il provvedimento di urgenza del 30 marzo scorso, con cui il Garante italiano per la Protezione dei dati personali (Garante Privacy) ha disposto la «limitazione provvisoria del trattamento dei dati personali degli interessati stabiliti nel territorio italiano» da parte di OpenAI L.L.C., società statunitense sviluppatrice e gestrice di ChatGPT, ha generato grandi attenzioni, non soltanto in Italia ma in tutta Europa. Il provvedimento, che l’autorità italiana ha disposto ai sensi dell’art. 58, par. 2, lett. f del Regolamento europeo sulla protezione dei dati personali, GDPR, ha avviato una riflessione circa l’impatto di tale sistema sui dati personali, sulla portata dell’intervento dell’autorità stessa, sulla adeguatezza del GDPR allo sviluppo tecnologico. Può essere utile una ricognizione delle diverse fasi della vicenda, accompagnata da alcune considerazioni sui punti più controversi.
Il provvedimento d’urgenza del Garante
Il Garante ha contestato a OpenAI, in primo luogo, l’assenza di informativa sul trattamento dei dati tramite ChatGPT, cioè la mancanza di comunicazione sulle finalità e le modalità del trattamento stesso. A mancare, secondo l’autorità italiana, è un sistema per assicurarne trasparenza e correttezza allo scopo eventualmente di prestare il consenso. In secondo luogo, il Garante contesta l’assenza di idonea base giuridica, vale a dire ciò che rende lecito l’utilizzo dei dati personali (art. 6 GDPR), in relazione alla raccolta dei dati stessi e al loro trattamento per addestrare gli algoritmi sottesi al funzionamento di ChatGPT. La terza contestazione verte sull’inesattezza del trattamento dei dati, «in quanto le informazioni fornite da ChatGPT non sempre corrispondono al dato reale», come lamentato da molti interessati; infine, si rileva la mancanza di «qualsivoglia verifica dell’età degli utenti» – mentre, secondo i termini pubblicati da OpenAI, il servizio ChatGPT è riservato a chi abbia compiuto almeno 13 anni – e ciò espone i minori dell’età prevista a risposte «inidonee rispetto al grado di sviluppo e autoconsapevolezza degli stessi».
L’Autorità ha invitato OpenAI a comunicare le iniziative «intraprese al fine di dare attuazione a quanto prescritto» e a «fornire ogni elemento ritenuto utile a giustificare le violazioni sopra evidenziate», entro 20 giorni. A seguito del provvedimento, nella stessa giornata della decisione del Garante, la società ha bloccato l’uso del servizio dall’Italia, nonostante l’autorità avesse disposto solo la limitazione provvisoria del trattamento dei dati delle persone site in Italia. Limitazione significa, tra l’altro, rendere alcuni dati personali inaccessibili agli utenti o rimuovere temporaneamente i dati pubblicati da un sito, così che «non siano sottoposti a ulteriori trattamenti» (considerando 67 del GDPR).
A seguito del provvedimento urgente – ratificato dal Collegio l’8 aprile – vi sono stati contatti per le vie brevi, e un incontro tra il Garante e la società si è svolto in teleconferenza il 5 aprile 2023. Con note trasmesse al Garante il 6 e 7 aprile, OpenAI si è detta pronta a collaborare, chiedendo altresì la revoca del provvedimento di limitazione provvisoria. A fronte delle informazioni acquisite e della disponibilità manifestata dalla società a «porre in essere una serie di misure concrete a tutela dei diritti e delle libertà degli interessati, i cui dati sono stati trattati per l’addestramento degli algoritmi strumentali all’erogazione del servizio ChatGPT, e degli utenti del servizio medesimo», l’11 aprile il Garante ha adottato un nuovo provvedimento (ai sensi dell’art. 58, par. 2, lett. d, GDPR). Esso contiene una serie di misure e prescrizioni cui OpenAI dovrà adeguarsi per rendere il trattamento dei dati personali conforme al Regolamento UE.
Le condizioni per la sospensione della limitazione provvisoria
Per ottenere la sospensione della limitazione provvisoria, entro il prossimo 30 aprile OpenAI dovrà, innanzitutto, implementare l’informativa rivolta agli interessati, anche non utilizzatori del servizio, i cui dati sono stati trattati per addestrare l’algoritmo, spiegando «le modalità del trattamento, la logica alla base del trattamento necessario al funzionamento del servizio, i diritti loro spettanti in qualità di interessati e ogni altra informazione prevista dal Regolamento europeo». Inoltre, «per gli utenti che si collegano dall’Italia, l’informativa dovrà essere presentata prima del completamento della registrazione e, sempre prima del completamento della registrazione dovrà essere loro richiesto di dichiarare di essere maggiorenni. Agli utenti già registrati, l’informativa dovrà essere presentata al momento del primo accesso successivo alla riattivazione del servizio e, nella stessa occasione, dovrà essere loro richiesto di superare un age gate che escluda, sulla base dell’età dichiarata, gli utenti minorenni».
Ancora, OpenAI dovrà mettere a disposizione degli interessati, anche diversi dagli utenti del servizio, che si collegano dall’Italia, «uno strumento attraverso il quale chiedere e ottenere la correzione di eventuali dati personali che li riguardano trattati in maniera inesatta nella generazione dei contenuti o, qualora ciò risulti impossibile allo stato della tecnica, la cancellazione dei propri dati personali». OpenAI dovrà altresì modificare la base giuridica del trattamento ai fini dell’addestramento degli algoritmi, sostituendo il contratto con il consenso o l’interesse legittimo. Si fa presente che quest’ultimo può costituire una base giuridica valida qualora, a seguito di bilanciamento con gli interessi o i diritti e le libertà dell’interessato, sia ritenuto prevalente dal titolare del trattamento – in questo caso OpenAI – secondo il principio di responsabilizzazione (c.d. accountability). OpenAI, inoltre, dovrà consentire agli interessati non utenti di esercitare, in modo semplice e accessibile, il diritto di opposizione rispetto al trattamento dei loro dati personali utilizzati per l’addestramento degli algoritmi e riconoscere analogo diritto agli utenti, qualora individui il legittimo interesse quale base giuridica del trattamento. Infine, a tutti gli utenti che si collegano dall’Italia, ivi inclusi quelli già registrati, andrà richiesto di «superare, in sede di primo accesso, un age gate che escluda, sulla base dell’età dichiarata, gli utenti minorenni».
Queste sono le condizioni, cui adeguarsi entro fine aprile, perché venga meno la limitazione del trattamento. Ma non è tutto. Entro il 15 maggio 2023, OpenAI dovrà presentare «una campagna di informazione, di natura non promozionale, su tutti i principali mezzi di comunicazione di massa italiani (radio, televisione, giornali e Internet) i cui contenuti andranno concordati con il Garante allo scopo di informare le persone dell’avvenuta probabile raccolta dei loro dati personali ai fini dell’addestramento degli algoritmi, dell’avvenuta pubblicazione sul sito internet della società di un’apposita informativa di dettaglio e della messa a disposizione, sempre sul sito internet della società, di uno strumento attraverso il quale tutti gli interessati potranno chiedere e ottenere la cancellazione dei propri dati personali». Entro il 31 maggio 2023, inoltre, dovrà essere presentato all’Autorità un piano per l’adozione di strumenti di age verification che escluda dall’accesso al servizio gli utenti minori di 13 anni e i minorenni in assenza di un’espressa manifestazione di volontà da parte di chi esercita la responsabilità genitoriale. L’implementazione del piano dovrà decorrere al più tardi il 30 settembre 2023.
Le critiche al provvedimento d’urgenza del Garante
Con il provvedimento di urgenza, il Garante ha disposto che i dati oggetto di limitazione provvisoria andassero individuati ed esclusi dal trattamento. La società avrebbe potuto continuare a offrire il suo servizio isolando i dati degli utenti indicati, oltre a fornire i chiarimenti richiesti. Evidentemente non l’ha fatto perché le modalità di funzionamento di ChatGPT, con l’addestramento del sistema mediante l’utilizzo di mole ingente e indistinta di dati, non rendono possibile espungere quelli delle persone in Italia. Una delle critiche rivolte al Garante concerne proprio l’impossibilità di procedere alla limitazione del trattamento, che ha portato all’inevitabile e conseguente blocco del servizio in Italia: ciò dimostrerebbe l’inidoneità del provvedimento adottato, in quanto chiede un adempimento che non può essere assolto. Di fatto, l’impossibilità di isolare i dati degli utenti rappresenterebbe il riconoscimento della violazione del GDPR. Se OpenAI non è in grado di ottemperare alle richieste dell’Autorità, poiché il meccanismo implementato dall’intelligenza artificiale non consente di escludere dal sistema i dati di specifici utenti, ciò significa che tali dati non possono essere isolati dalla società nemmeno qualora singoli utenti ne chiedano l’aggiornamento, la rettifica, la cancellazione oppure vogliano ottenere la limitazione del loro uso (proprio ciò che ha chiesto il Garante). Si tratta di diritti che il GDPR attribuisce agli interessati (artt. 15-22), e chi tratta i loro dati deve poterne consentire l’esercizio.
Questa è la principale differenza fra un motore di ricerca, ove è l’utente che deve valutare i risultati offerti e decidere di quali fonti avvalersi, e ChatGPT, che fornisce un risultato preconfezionato, la cui fonte si perde nel processo di addestramento: i dati forniti da un qualunque motore di ricerca possono sempre essere isolati, al fine di correggerli, modificarli o eliminarli su richiesta degli interessati, cosa che non è certo sia possibile per ChatGPT. Peraltro, i dati che vengono trattati da OpenAI non sono solo quelli usati per allenare la macchina a fornire risposte, ma anche quelli che l’utente genera e condivide formulando le proprie domande. Queste ultime, peraltro, vengono poste alla chatbot in modo più elaborato e personalizzato rispetto al modo in cui sono espresse a un motore di ricerca, e ciò implica la possibile rivelazione anche di dati sensibili che concorrono a sostanziare il patrimonio informativo di cui si avvale il sistema.
Un’altra delle critiche al Garante riguarda l’insufficiente motivazione del suo provvedimento, specie in considerazione del fatto che non potesse ravvisarsi una reale urgenza e gravità della situazione. In buona sostanza, si obietta che il potere dell’Autorità di operare un intervento coercitivo in via cautelare è funzionale alla urgenza di bloccare situazioni di illecito trattamento dei dati che determinano un danno grave e attuale ai diritti degli interessati, come in caso di pubblicazione di foto e filmati relativi a revenge porn, violenze a minori, video o audio illecitamente pubblicati online ecc.. In queste ipotesi sarebbe chiara la gravità e l’urgenza di bloccare il trattamento, che invece non si ravviserebbe per il provvedimento di inibizione rivolto a ChatGPT. A questa critica si associano i rilievi sull’inadeguatezza del GDPR agli usi dell’intelligenza artificiale, inadeguatezza che avrebbe dovuto suggerire al Garante Privacy un’applicazione del regolamento le cui conseguenze non fossero così dirompenti come quelle che ha avuto il suo atto di limitazione.
Per questo motivo, osservano alcuni, l’Autorità italiana avrebbe fatto meglio a coordinarsi anche con gli altri garanti europei e con lo European Data Protection Board (EDPB), il Comitato europeo per la protezione dei dati, sul caso di Chat GPT. Al riguardo, va osservato che nel caso di OpenAI non poteva applicarsi il procedimento coordinato previsto dal GDPR di intervento delle diverse autorità europee – principio dello sportello unico (one stop shop, art. 60 GDPR) – in quanto la società non ha sede in Europa (in Irlanda ha sede solo un legale rappresentante). In questi casi, ogni autorità può intervenire in via autonoma. In altre parole, l’autorità – quella del paese ove ha sede la società, se ha sede in UE, oppure quella che per prima rilevi un’ipotesi di violazione – può comunque agire velocemente per porvi fine, in attesa di accertamenti ulteriori. Invece, il coordinamento preventivo di 27 autorità, ognuna delle quali ha sensibilità e priorità diverse, richiederebbe tempo.
Questi appunti all’operato del Garante vanno debitamente considerati. Tuttavia, dev’essere tenuto presente un elemento essenziale: contemperare l’evoluzione tecnologica con le regole vigenti – che sono comunque sempre un passo indietro rispetto al progresso, per la stessa natura e per i tempi dei processi legislativi – non è mai agevole. L’Autorità dispone di una certa cassetta degli attrezzi, e con quelli deve intervenire là dove vede – in base alla propria valutazione, come soggetto preposto alla tutela dei dati personali – il rischio di violazione grave dei diritti degli utenti, affinché l’eventuale trattamento pregiudizievole non prosegua oltre e i diritti siano tutelati. Quanto alle critiche sulle modalità utilizzate, vale a dire un provvedimento adottato in via d’urgenza, va rilevato che proprio tali modalità hanno costituito una sorta di sasso lanciato nello stagno, facendo sì che il problema connesso al trattamento dei dati personali nell’ambito di un sistema di intelligenza artificiale fosse sollevato in maniera dirompente in sede non solo europea, ma mondiale.
Gli interventi su ChatGPT
L’Italia non è sola. Il 30 marzo scorso, il Center for AI and Digital Policy (CAIDP) ha chiesto alla Federal Trade Commission (FTC) statunitense di indagare su OpenAI con riguardo a ChatGPT, accusando l’azienda di violare la Sezione 5 del Federal Trade Commission Act, che proibisce «atti o pratiche sleali o ingannevoli nel o sul commercio». La denuncia afferma che l’uso dell’intelligenza artificiale dovrebbe essere «trasparente, spiegabile, equo ed empiricamente valido, promuovendo al contempo la responsabilità», mentre ChatGPT di OpenAI «non soddisfa nessuno di questi requisiti» ed è «parziale, ingannevole e un rischio per la privacy e la sicurezza pubblica». Successivamente, la Beuc (European Consumer Organization), organizzazione europea che raggruppa 46 associazioni dei consumatori europee di 32 paesi (Altroconsumo per l’Italia), ha chiesto alle Autorità per la privacy di valutare la gestione dei dati da parte di ChatGPT.
Anche il Garante canadese ha avviato un’istruttoria su OpenAI, il 4 aprile scorso, a seguito di una denuncia relativa alla raccolta, uso e divulgazione di informazioni personali senza il consenso degli interessati. «La tecnologia AI e i suoi effetti sulla privacy sono una priorità» per «stare al passo con i rapidi progressi tecnologici e anticiparli», ha dichiarato il Commissario dell’Autorità canadese Philippe Dufresne. Pure le Autorità garanti di Francia, Germania e Irlanda hanno aperto istruttorie relative a ChatGPT, per valutare se OpenAI stia violando il GDPR.
Infine, l’Agencia Española Proteccìon Datos (AEPD), il Garante spagnolo, ha chiesto all’EDPB di affrontare la questione OpenAI a livello europeo per avere un’uniformità di approccio e di interpretazione tra le varie autorità dell’UE. Lo scorso 13 aprile, il Comitato europeo per la protezione dei dati, proprio a seguito del provvedimento di limitazione provvisoria del trattamento adottato dal Garante italiano, ha deciso di lanciare una task force su ChatGPT. «L’obiettivo della task force è di promuovere la cooperazione e lo scambio di informazioni su eventuali iniziative per l’applicazione del Regolamento europeo condotte dalle Autorità di protezione dati». In altre parole, l’EDPB svolgerà il compito – previsto per il Comitato europeo dal GDPR – di favorire la collaborazione tra gli Stati e valutare la coerenza dell’applicazione del Regolamento.
In conclusione, l’intervento del Garante Privacy, stigmatizzato da taluni per le conseguenze che avrebbe determinato in ordine all’operatività di ChatGPT in Italia, ha avuto un esito positivo. L’Autorità italiana per prima ha rilevato un problema che ora, grazie alla sua iniziativa, è oggetto di valutazione da parte di altri Garanti e di discussione in sede di Comitato europeo. Pertanto, a differenza di quanto qualcuno ha affermato, l’iniziativa del Garante nazionale – lungi dal voler porre un freno alla innovazione digitale e, in particolare, allo sviluppo dell’intelligenza artificiale – segna un passo importante affinché l’utilizzo delle nuove tecnologie possa avvenire nel rispetto della tutela dei dati personali, rendendo conoscibili i modi e le finalità che connotano il trattamento di tali dati. Ciò a beneficio non solo degli utenti del servizio e di coloro i cui dati sono trattati, ma anche della società nel suo complesso. Ora non può che auspicarsi che il legislatore europeo adotti quanto prima una normativa sull’intelligenza artificiale (Artificial Intelligence Act), formulando le norme con una certa “visione”, in modo che non siano già obsolete nel momento in cui saranno emanate. Il caso ChatGPT potrebbe essere d’insegnamento.