Con un annuncio a sorpresa pubblicato sul sito del Garante Privacy nelle scorse ore, l’Autorità italiana ha comunicato di aver trasmesso un atto di contestazione formale a OpenAI, società guidata da Sam Altman che sviluppa – tra gli altri prodotti e servizi – anche il noto ChatGPT.
La vicenda non è propriamente nuova. Rilevando una serie di mancanze rispetto alla normativa in materia di trattamento dei dati personali (GDPR in primis), a fine marzo 2023 il Garante aveva prescritto una limitazione provvisoria per il chatbot OpenAI. Dall’ufficio romano di Piazza Venezia, OpenAI è stata invitata a sospendere il trattamento dei dati dei soggetti stabiliti nel territorio italiano e a inviare, a stretto giro, un documento contenente le informazioni sulle modalità con cui l’azienda attiva nel settore delle soluzioni basate sull’intelligenza artificiale avrebbe risolto le criticità poste sul tavolo dal Garante.
A quel punto, in risposta al provvedimento restrittivo, OpenAI ha scelto di bloccare l’accesso a ChatGPT da parte degli utenti italiani (lo ha fatto l’azienda di sua sponte, non lo ha disposto il Garante…). A distanza di circa un mese, a fine aprile 2023, ChatGPT è tornato accessibile in Italia. Certa di aver così soddisfatto le richieste avanzate dal Garante, OpenAI ha offerto la possibilità di negare il riutilizzo del contenuto delle conversazioni per l’ulteriore addestramento del modello e ha abilitato la verifica dell’età al primo utilizzo della piattaforma. Ha inoltre aggiornato la policy sulla privacy prevedendo la cancellazione dei dati raccolti e utilizzati nei modelli generativi.
Per il Garante Privacy gli interventi su ChatGPT sono insufficienti
La breve comunicazione apparsa sul sito del Garante Privacy non specifica le basi sulle quali l’Autorità ha ritenuto opportuno inviare un atto di contestazione a OpenAI. Conferma, tuttavia, che la decisione odierna è figlia proprio del provvedimento di limitazione provvisoria del trattamento citato in apertura. A distanza di meno di un anno, quindi, si riapre il braccio di ferro tra Garante e OpenAI: “l’Autorità ha ritenuto che gli elementi acquisiti possano configurare uno o più illeciti rispetto a quanto stabilito dal Regolamento UE“, si legge.
A questo punto, OpenAI ha 30 giorni di tempo per inviare le sue memorie difensive in merito alle presunte violazioni contestate.
Non essendo in grado di conoscere la materia del contendere, possiamo ovviamente avanzare soltanto delle supposizioni. Ed è pacifico osservare che, evidentemente, gli interventi applicati su ChatGPT a fine aprile 2023 non sono ritenuti sufficienti da parte del Garante, ai sensi della regolamentazione europea.
Al momento non esistono precedenti: ci risulta che il Garante italiano sia l’unico soggetto europeo ad aver presentato a OpenAI una contestazione formale. È la stessa Autorità a precisare, tuttavia, che nella definizione del procedimento “terrà conto dei lavori in corso nell’ambito della speciale task force, istituita dal Board che riunisce le Autorità di protezione dati dell’Ue (Edpb)“. Per puntualizzare, insomma, che l’iniziativa si inquadra in uno sforzo condiviso a tutela della protezione dei dati personali dei cittadini residenti nei Paesi dell’Unione.
Il caso ChatGPT-Garante Privacy potrebbe essere destinato a fare scuola
Sappiamo che se il Garante Privacy si muove nei confronti di un sito Web, di un servizio online, di una piattaforma, contestando una o più violazioni, non è detto che altri soggetti non stiano – loro stessi – commettendo le medesime violazioni. I provvedimenti assunti, però, sono prese di posizioni importanti che indicano la strada da seguire per qualunque soggetto faccia business nel digitale.
Dicevamo che non è dato sapere quali siano le nuove contestazioni rivolte a OpenAI rispetto al funzionamento di ChatGPT. Certo è che il sistema di age verification implementato sulla piattaforma (così come da decine di altri siti Web) potrebbe essere giudicato non adeguato. D’altra parte, un semplice Sì/No alla richiesta “Sei maggiorenne?” può essere effettivamente un approccio troppo semplicistico al problema.
L’altro problema potrebbe verosimilmente avere a che fare con il materiale usato da OpenAI per addestrare i suoi modelli generativi. Attenzione, però, perché anche se il Garante parla di ChatGPT, il tema investe proprio i modelli generativi GPT che l’azienda usa non solo per alimentare il chatbot ma offre commercialmente a professionisti e aziende di tutto il mondo.
Ancora una volta, quindi, potrebbe tornare di attualità l’argomento legato alla legittimità della raccolta dei dati, ai sensi delle disposizioni contenute nel Regolamento generale sulla protezione dei dati (GDPR).
Cosa rischia OpenAI
Abbiamo detto che, dal momento della ricezione della contestazione a firma del Garante Privacy, OpenAI ha un mese di tempo per inviare le sue controdeduzioni e spiegare perché, a suo avviso, le misure implementate all’interno di ChatGPT risultano compatibili con la normativa vigente.
Nel caso in cui l’Autorità italiana ritenesse inadeguate le giustificazioni di OpenAI e le “presunte violazioni” divenissero vere e proprie violazioni, allora l’azienda ormai legata a doppio filo con Microsoft potrebbe essere chiamata a versare una sanzione fino a 20 milioni di euro oppure, addirittura, fino al 4% del suo fatturato globale annuo.