{"id":6804,"date":"2023-04-21T09:54:45","date_gmt":"2023-04-21T08:54:45","guid":{"rendered":"https:\/\/legrandcontinent.eu\/ita\/?p=6804"},"modified":"2023-04-21T10:16:34","modified_gmt":"2023-04-21T09:16:34","slug":"perche-litalia-ha-bloccato-chatgpt","status":"publish","type":"post","link":"https:\/\/legrandcontinent.eu\/it\/2023\/04\/21\/perche-litalia-ha-bloccato-chatgpt\/","title":{"rendered":"Perch\u00e9 l\u2019Italia ha bloccato ChatGPT?"},"content":{"rendered":"\n

Il provvedimento di urgenza<\/a> del 30 marzo scorso, con cui il Garante italiano per la Protezione dei dati personali (Garante Privacy) ha disposto la \u00ablimitazione provvisoria del trattamento dei dati personali degli interessati stabiliti nel territorio italiano\u00bb da parte di OpenAI L.L.C., societ\u00e0 statunitense sviluppatrice e gestrice di ChatGPT, ha generato grandi attenzioni, non soltanto in Italia ma in tutta Europa. Il provvedimento, che l\u2019autorit\u00e0 italiana ha disposto ai sensi dell\u2019art. 58, par. 2, lett. f del Regolamento europeo sulla protezione dei dati personali, GDPR, ha avviato una riflessione circa l\u2019impatto di tale sistema sui dati personali, sulla portata dell\u2019intervento dell\u2019autorit\u00e0 stessa, sulla adeguatezza del GDPR allo sviluppo tecnologico. Pu\u00f2 essere utile una ricognizione delle diverse fasi della vicenda, accompagnata da alcune considerazioni sui punti pi\u00f9 controversi.<\/p>\n\n\n\n

Il provvedimento d\u2019urgenza del Garante<\/strong><\/h2>\n\n\n\n

Il Garante ha contestato a OpenAI, in primo luogo, l\u2019assenza di informativa sul trattamento dei dati tramite ChatGPT, cio\u00e8 la mancanza di comunicazione sulle finalit\u00e0 e le modalit\u00e0 del trattamento stesso. A mancare, secondo l\u2019autorit\u00e0 italiana, \u00e8 un sistema per assicurarne trasparenza e correttezza allo scopo eventualmente di prestare il consenso. In secondo luogo, il Garante contesta l\u2019assenza di idonea base giuridica, vale a dire ci\u00f2 che rende lecito l\u2019utilizzo dei dati personali (art. 6 GDPR), in relazione alla raccolta dei dati stessi e al loro trattamento per addestrare gli algoritmi sottesi al funzionamento di ChatGPT. La terza contestazione verte sull\u2019inesattezza del trattamento dei dati, \u00abin quanto le informazioni fornite da ChatGPT non sempre corrispondono al dato reale\u00bb, come lamentato da molti interessati; infine, si rileva la mancanza di \u00abqualsivoglia verifica dell\u2019et\u00e0 degli utenti\u00bb – mentre, secondo i termini pubblicati da OpenAI, il servizio ChatGPT \u00e8 riservato a chi abbia compiuto almeno 13 anni – e ci\u00f2 espone i minori dell\u2019et\u00e0 prevista a risposte \u00abinidonee rispetto al grado di sviluppo e autoconsapevolezza degli stessi\u00bb.<\/p>\n\n\n\n

A mancare, secondo l\u2019autorit\u00e0 italiana, \u00e8 un sistema per assicurarne trasparenza e correttezza allo scopo eventualmente di prestare il consenso<\/p>Vitalba azzollini<\/cite><\/blockquote><\/figure>\n\n\n\n

L\u2019Autorit\u00e0 ha invitato OpenAI a comunicare le iniziative \u00abintraprese al fine di dare attuazione a quanto prescritto\u00bb e a \u00abfornire ogni elemento ritenuto utile a giustificare le violazioni sopra evidenziate\u00bb, entro 20 giorni. A seguito del provvedimento, nella stessa giornata della decisione del Garante, la societ\u00e0 ha bloccato l\u2019uso del servizio dall\u2019Italia, nonostante l\u2019autorit\u00e0 avesse disposto solo la limitazione provvisoria del trattamento dei dati delle persone site in Italia. Limitazione significa, tra l\u2019altro, rendere alcuni dati personali inaccessibili agli utenti o rimuovere temporaneamente i dati pubblicati da un sito, cos\u00ec che \u00abnon siano sottoposti a ulteriori trattamenti\u00bb (considerando 67 del GDPR).<\/p>\n\n\n\n

A seguito del provvedimento urgente \u2013 ratificato dal Collegio l\u20198 aprile – vi sono stati contatti per le vie brevi, e un incontro tra il Garante e la societ\u00e0 si \u00e8 svolto in teleconferenza il 5 aprile 2023. Con note trasmesse al Garante il 6 e 7 aprile, OpenAI si \u00e8 detta pronta a collaborare, chiedendo altres\u00ec la revoca del provvedimento di limitazione provvisoria. A fronte delle informazioni acquisite e della disponibilit\u00e0 manifestata dalla societ\u00e0 a \u00abporre in essere una serie di misure concrete a tutela dei diritti e delle libert\u00e0 degli interessati, i cui dati sono stati trattati per l\u2019addestramento degli algoritmi strumentali all\u2019erogazione del servizio ChatGPT, e degli utenti del servizio medesimo\u00bb, l\u201911 aprile il Garante ha adottato un nuovo provvedimento<\/a> (ai sensi dell\u2019art. 58, par. 2, lett. d, GDPR). Esso contiene una serie di misure e prescrizioni cui OpenAI dovr\u00e0 adeguarsi per rendere il trattamento dei dati personali conforme al Regolamento UE.<\/p>\n\n\n\n

Una contestazione verte sull\u2019inesattezza del trattamento dei dati, \u00abin quanto le informazioni fornite da ChatGPT non sempre corrispondono al dato reale\u00bb, come lamentato da molti interessati<\/p>Vitalba azzollini<\/cite><\/blockquote><\/figure>\n\n\n\n

Le condizioni per la sospensione della limitazione provvisoria<\/strong><\/h2>\n\n\n\n

Per ottenere la sospensione della limitazione provvisoria, entro il prossimo 30 aprile OpenAI dovr\u00e0, innanzitutto, implementare l\u2019informativa rivolta agli interessati, anche non utilizzatori del servizio, i cui dati sono stati trattati per addestrare l\u2019algoritmo, spiegando \u00able modalit\u00e0 del trattamento, la logica alla base del trattamento necessario al funzionamento del servizio, i diritti loro spettanti in qualit\u00e0 di interessati e ogni altra informazione prevista dal Regolamento europeo\u00bb. Inoltre, \u00abper gli utenti che si collegano dall\u2019Italia<\/a>, l\u2019informativa dovr\u00e0 essere presentata prima del completamento della registrazione e, sempre prima del completamento della registrazione dovr\u00e0 essere loro richiesto di dichiarare di essere maggiorenni. Agli utenti gi\u00e0 registrati, l\u2019informativa dovr\u00e0 essere presentata al momento del primo accesso successivo alla riattivazione del servizio e, nella stessa occasione, dovr\u00e0 essere loro richiesto di superare un age gate che escluda, sulla base dell\u2019et\u00e0 dichiarata, gli utenti minorenni\u00bb. <\/p>\n\n\n\n

Ancora, OpenAI dovr\u00e0 mettere a disposizione degli interessati, anche diversi dagli utenti del servizio, che si collegano dall\u2019Italia, \u00abuno strumento attraverso il quale chiedere e ottenere la correzione di eventuali dati personali che li riguardano trattati in maniera inesatta nella generazione dei contenuti o, qualora ci\u00f2 risulti impossibile allo stato della tecnica, la cancellazione dei propri dati personali\u00bb. OpenAI dovr\u00e0 altres\u00ec modificare la base giuridica del trattamento ai fini dell\u2019addestramento degli algoritmi, sostituendo il contratto con il consenso o l\u2019interesse legittimo. Si fa presente che quest\u2019ultimo pu\u00f2 costituire una base giuridica valida qualora, a seguito di bilanciamento con gli interessi o i diritti e le libert\u00e0 dell\u2019interessato, sia ritenuto prevalente dal titolare del trattamento \u2013 in questo caso OpenAI – secondo il principio di responsabilizzazione (c.d. accountability<\/em>). OpenAI, inoltre, dovr\u00e0 consentire agli interessati non utenti di esercitare, in modo semplice e accessibile, il diritto di opposizione rispetto al trattamento dei loro dati personali utilizzati per l\u2019addestramento degli algoritmi e riconoscere analogo diritto agli utenti, qualora individui il legittimo interesse quale base giuridica del trattamento. Infine, a tutti gli utenti che si collegano dall\u2019Italia, ivi inclusi quelli gi\u00e0 registrati, andr\u00e0 richiesto di \u00absuperare, in sede di primo accesso, un age gate che escluda, sulla base dell\u2019et\u00e0 dichiarata, gli utenti minorenni\u00bb.<\/p>\n\n\n\n

OpenAI dovr\u00e0 altres\u00ec modificare la base giuridica del trattamento ai fini dell\u2019addestramento degli algoritmi, sostituendo il contratto con il consenso o l\u2019interesse legittimo<\/p>Vitalba azzollini<\/cite><\/blockquote><\/figure>\n\n\n\n

Queste sono le condizioni, cui adeguarsi entro fine aprile, perch\u00e9 venga meno la limitazione del trattamento. Ma non \u00e8 tutto. Entro il 15 maggio 2023, OpenAI dovr\u00e0 presentare \u00abuna campagna di informazione, di natura non promozionale, su tutti i principali mezzi di comunicazione di massa italiani (radio, televisione, giornali e Internet) i cui contenuti andranno concordati con il Garante allo scopo di informare le persone dell\u2019avvenuta probabile raccolta dei loro dati personali ai fini dell\u2019addestramento degli algoritmi, dell\u2019avvenuta pubblicazione sul sito internet della societ\u00e0 di un\u2019apposita informativa di dettaglio e della messa a disposizione, sempre sul sito internet della societ\u00e0, di uno strumento attraverso il quale tutti gli interessati potranno chiedere e ottenere la cancellazione dei propri dati personali\u00bb. Entro il 31 maggio 2023, inoltre, dovr\u00e0 essere presentato all\u2019Autorit\u00e0 un piano per l\u2019adozione di strumenti di age verification<\/em> che escluda dall\u2019accesso al servizio gli utenti minori di 13 anni e i minorenni in assenza di un\u2019espressa manifestazione di volont\u00e0 da parte di chi esercita la responsabilit\u00e0 genitoriale. L\u2019implementazione del piano dovr\u00e0 decorrere al pi\u00f9 tardi il 30 settembre 2023.<\/p>\n\n\n\n

Le critiche al provvedimento d\u2019urgenza del Garante<\/strong><\/h2>\n\n\n\n

Con il provvedimento di urgenza, il Garante ha disposto che i dati oggetto di limitazione provvisoria andassero individuati ed esclusi dal trattamento. La societ\u00e0 avrebbe potuto continuare a offrire il suo servizio isolando i dati degli utenti indicati, oltre a fornire i chiarimenti richiesti. Evidentemente non l\u2019ha fatto perch\u00e9 le modalit\u00e0 di funzionamento di ChatGPT, con l\u2019addestramento del sistema mediante l\u2019utilizzo di mole ingente e indistinta di dati, non rendono possibile espungere quelli delle persone in Italia. Una delle critiche rivolte al Garante concerne proprio l\u2019impossibilit\u00e0 di procedere alla limitazione del trattamento, che ha portato all\u2019inevitabile e conseguente blocco del servizio in Italia: ci\u00f2 dimostrerebbe l\u2019inidoneit\u00e0 del provvedimento adottato, in quanto chiede un adempimento che non pu\u00f2 essere assolto. Di fatto, l\u2019impossibilit\u00e0 di isolare i dati degli utenti rappresenterebbe il riconoscimento della violazione del GDPR. Se OpenAI non \u00e8 in grado di ottemperare alle richieste dell\u2019Autorit\u00e0, poich\u00e9 il meccanismo implementato dall\u2019intelligenza artificiale non consente di escludere dal sistema i dati di specifici utenti, ci\u00f2 significa che tali dati non possono essere isolati dalla societ\u00e0 nemmeno qualora singoli utenti ne chiedano l’aggiornamento, la rettifica, la cancellazione oppure vogliano ottenere la limitazione del loro uso (proprio ci\u00f2 che ha chiesto il Garante). Si tratta di diritti che il GDPR attribuisce agli interessati (artt. 15-22), e chi tratta i loro dati deve poterne consentire l\u2019esercizio.<\/p>\n\n\n\n

Se il meccanismo implementato dall\u2019intelligenza artificiale non consente di escludere dal sistema i dati di specifici utenti, ci\u00f2 significa che tali dati non possono essere isolati dalla societ\u00e0 nemmeno qualora singoli utenti ne chiedano l’aggiornamento, la rettifica, la cancellazione oppure vogliano ottenere la limitazione del loro uso<\/p>Vitalba azzollini<\/cite><\/blockquote><\/figure>\n\n\n\n

Questa \u00e8 la principale differenza fra un motore di ricerca, ove \u00e8 l\u2019utente che deve valutare i risultati offerti e decidere di quali fonti avvalersi, e ChatGPT, che fornisce un risultato preconfezionato, la cui fonte si perde nel processo di addestramento: i dati forniti da un qualunque motore di ricerca possono sempre essere isolati, al fine di correggerli, modificarli o eliminarli su richiesta degli interessati, cosa che non \u00e8 certo sia possibile per ChatGPT. Peraltro, i dati che vengono trattati da OpenAI non sono solo quelli usati per allenare la macchina a fornire risposte, ma anche quelli che l\u2019utente genera e condivide formulando le proprie domande. Queste ultime, peraltro, vengono poste alla chatbot<\/em> in modo pi\u00f9 elaborato e personalizzato rispetto al modo in cui sono espresse a un motore di ricerca, e ci\u00f2 implica la possibile rivelazione anche di dati sensibili che concorrono a sostanziare il patrimonio informativo di cui si avvale il sistema.<\/p>\n\n\n\n

Un\u2019altra delle critiche al Garante riguarda l\u2019insufficiente motivazione del suo provvedimento, specie in considerazione del fatto che non potesse ravvisarsi una reale urgenza e gravit\u00e0 della situazione. In buona sostanza, si obietta che il potere dell\u2019Autorit\u00e0 di operare un intervento coercitivo in via cautelare \u00e8 funzionale alla urgenza di bloccare situazioni di illecito trattamento dei dati che determinano un danno grave e attuale ai diritti degli interessati, come in caso di pubblicazione di foto e filmati relativi a revenge porn<\/em>, violenze a minori, video o audio illecitamente pubblicati online<\/em> ecc.. In queste ipotesi sarebbe chiara la gravit\u00e0 e l\u2019urgenza di bloccare il trattamento, che invece non si ravviserebbe per il provvedimento di inibizione rivolto a ChatGPT. A questa critica si associano i rilievi sull\u2019inadeguatezza del GDPR agli usi dell\u2019intelligenza artificiale, inadeguatezza che avrebbe dovuto suggerire al Garante Privacy un\u2019applicazione del regolamento le cui conseguenze non fossero cos\u00ec dirompenti come quelle che ha avuto il suo atto di limitazione. <\/p>\n\n\n\n

I dati che vengono trattati da OpenAI non sono solo quelli usati per allenare la macchina a fornire risposte, ma anche quelli che l\u2019utente genera e condivide formulando le proprie domande<\/p>vitalba azzollini<\/cite><\/blockquote><\/figure>\n\n\n\n

Per questo motivo, osservano alcuni, l\u2019Autorit\u00e0 italiana avrebbe fatto meglio a coordinarsi anche con gli altri garanti europei e con lo European Data Protection Board<\/em> (EDPB), il Comitato europeo per la protezione dei dati, sul caso di Chat GPT. Al riguardo, va osservato che nel caso di OpenAI non poteva applicarsi il procedimento coordinato previsto dal GDPR di intervento delle diverse autorit\u00e0 europee – principio dello sportello unico (one stop shop<\/em>, art. 60 GDPR) – in quanto la societ\u00e0 non ha sede in Europa (in Irlanda ha sede solo un legale rappresentante). In questi casi, ogni autorit\u00e0 pu\u00f2 intervenire in via autonoma. In altre parole, l\u2019autorit\u00e0 – quella del paese ove ha sede la societ\u00e0, se ha sede in UE, oppure quella che per prima rilevi un\u2019ipotesi di violazione \u2013 pu\u00f2 comunque agire velocemente per porvi fine, in attesa di accertamenti ulteriori. Invece, il coordinamento preventivo di 27 autorit\u00e0, ognuna delle quali ha sensibilit\u00e0 e priorit\u00e0 diverse, richiederebbe tempo.<\/p>\n\n\n\n

Questi appunti all\u2019operato del Garante vanno debitamente considerati. Tuttavia, dev\u2019essere tenuto presente un elemento essenziale: contemperare l\u2019evoluzione tecnologica con le regole vigenti \u2013 che sono comunque sempre un passo indietro rispetto al progresso, per la stessa natura e per i tempi dei processi legislativi \u2013 non \u00e8 mai agevole. L\u2019Autorit\u00e0 dispone di una certa cassetta degli attrezzi, e con quelli deve intervenire l\u00e0 dove vede \u2013 in base alla propria valutazione, come soggetto preposto alla tutela dei dati personali – il rischio di violazione grave dei diritti degli utenti, affinch\u00e9 l\u2019eventuale trattamento pregiudizievole non prosegua oltre e i diritti siano tutelati. Quanto alle critiche sulle modalit\u00e0 utilizzate, vale a dire un provvedimento adottato in via d\u2019urgenza, va rilevato che proprio tali modalit\u00e0 hanno costituito una sorta di sasso lanciato nello stagno, facendo s\u00ec che il problema connesso al trattamento dei dati personali nell\u2019ambito di un sistema di intelligenza artificiale fosse sollevato in maniera dirompente in sede non solo europea, ma mondiale.<\/p>\n\n\n\n

Secondo alcuni, l\u2019Autorit\u00e0 italiana avrebbe fatto meglio a coordinarsi anche con gli altri garanti europei e con lo European Data Protection Board<\/em> (EDPB), il Comitato europeo per la protezione dei dati, sul caso di Chat GPT<\/p>vitalba azzollini<\/cite><\/blockquote><\/figure>\n\n\n\n

Gli interventi su ChatGPT<\/strong><\/h2>\n\n\n\n

L\u2019Italia non \u00e8 sola. Il 30 marzo scorso, il Center for AI and Digital Policy<\/em><\/a> (CAIDP) ha chiesto alla Federal Trade Commission (FTC) statunitense di indagare su OpenAI con riguardo a ChatGPT, accusando l’azienda di violare la Sezione 5 del Federal Trade Commission Act<\/em>, che proibisce \u00abatti o pratiche sleali o ingannevoli nel o sul commercio\u00bb. La denuncia afferma che l\u2019uso dell\u2019intelligenza artificiale dovrebbe essere \u00abtrasparente, spiegabile, equo ed empiricamente valido, promuovendo al contempo la responsabilit\u00e0\u00bb, mentre ChatGPT di OpenAI \u00abnon soddisfa nessuno di questi requisiti\u00bb ed \u00e8 \u00abparziale, ingannevole e un rischio per la privacy e la sicurezza pubblica\u00bb. Successivamente, la Beuc (European Consumer Organization<\/em>), organizzazione europea che raggruppa 46 associazioni dei consumatori europee di 32 paesi (Altroconsumo per l\u2019Italia), ha chiesto alle Autorit\u00e0 per la privacy<\/em><\/a> di valutare la gestione dei dati da parte di ChatGPT.<\/p>\n\n\n\n

\n\t
\n\t\t