Il Garante della Privacy non ha chiuso ChatGPT. Ha fatto di più, disponendo una limitazione provvisoria – con effetto immediato – del trattamento dei dati degli utenti italiani nei confronti di OpenAI, la società che gestisce ChatCPT. E ha aperto un’istruttoria.
ChatGPT è uno strumento di ‘elaborazione del linguaggio naturale’, un’applicazione di intelligenza artificiale capace, grazie ad algoritmi sofisticati, di generare risposte coerenti rispetto a delle domande. Coerenti ma non sempre corrette, come si è avuto modo di verificare nel corso dei mesi. Questo non ha frenato la corsa alla ‘conversazione con l’onnisciente’ intelligenza artificiale: ChatGPT ha conquistato milioni di utenti in tutto il mondo, il primo milione già nella settimana di lancio.
Il Garante della Privacy ha però ritenuto necessario disporre in via d’urgenza, come si legge nel provvedimento ufficiale, “la misura di limitazione provvisoria del trattamento dei dati personali degli interessati stabiliti nel territorio italiano”.
C’è quindi un pericolo effettivo legato all’utilizzo della ‘Chat intelligente’ così popolare? Lo abbiamo chiesto a Guido Scorza, componente del Garante per la protezione dei dati personali (nella foto in evidenza).
Il Garante ha disposto con effetto immediato la limitazione provvisoria del trattamento dei dati degli utenti italiani, nei confronti di Open AI, ed ha aperto un’istruttoria. In cosa consiste?
L’istruttoria serve a perimetrare l’ambito dell’indagine: riguarda il trattamento dei dati personali relativo al servizio di ChatGPT, che utilizziamo in tanti da diversi mesi. Il primo tema d’indagine è legato a come ChatGPT abbia raccolto dati, anche personali, di miliardi di persone al fine di addestrare l’algoritmo prima di lanciare il servizio. Come tutti gli algoritmi, anche quello di ChatGPT nasce meno intelligente di quanto poi non si mostri una volta che inizia a funzionare, però va educato e per farlo servono dati: quello che si evince navigando nelle Faq di ChatGPT è che questi dati sono stati raccolti da Internet. È presumibile una sorta di ‘pesca a strascico’ di una quantità enorme di dati, immagazzinati poi nei server di OpenAI – che è la società che gestisce ChatGPT – dati anche personali di miliardi di utenti. Il punto è che nessuno ha detto nulla a queste persone, che quindi sono finite – per il tramite dei loro dati – in pasto ad un algoritmo, senza saperlo. Ed è lecito dubitare che, per farlo, OpenAI abbia disposto di una idonea base giuridica, di una giustificazione legale appropriata.
Non si tratta di essere pro o contro il progresso. Volendo fare un paragone diremo che chi vuole, ad esempio, fare ricerca medica e scientifica – perseguendo un fine altrettanto nobile rispetto a quello delle intelligenze artificiali, che indubbiamente possono portare vantaggi all’umanità – deve dare informativa ai soggetti dei quali tratta i dati personali, e deve chiedere loro un consenso. In pratica, se non so chi fa cosa con i miei dati personali non riesco a controllarli e quindi non sono in grado di fare nessuna scelta in maniera libera e consapevole.
Quali sono i pericoli a cui si è sottoposti quando si utilizza questo tipo di piattaforme basate sull’intelligenza artificiale?
E’ il secondo tema, sempre oggetto dell’istruttoria e alla base del provvedimento: conversando con ChatGPT tutti abbiamo raccontato molto di noi stessi, più di quanto facciamo nella classica dimensione social o digitale in genere, che è già tantissimo. In una conversazione con ChatGPT una domanda è seguita da risposta, quella risposta suggerisce una domanda di approfondimento, e così facendo, ad esempio, si può cominciare dicendo di avere la febbre, poi si aggiunge che la si ha da 15 giorni, e ancora che si è sofferto in passato di una certa malattia, e così piano piano si racconta molto di noi ‘a chi sta dall’altra parte’.
Per quello che si è potuto osservare, tutto questo avviene oggi in assenza di qualunque informativa all’utente che usa ChatGPT da parte della società che gestisce i dati. Ci si racconta senza sapere quale sarà l’utilizzo di quelle informazioni che forniamo, che certamente vengono raccolte e conservate, visto che ChatGPT ci mette a disposizione la cronologia delle nostre conversazioni, ma verosimilmente ci si fa molto di più con quelle informazioni.
Ultimo punto, alla base sia dell’istruttoria che del provvedimento: capita di interrogare ChatGPT rispetto a quello che sa di una certa persona o personaggio. È capitato spesso che le informazioni della risposta fossero inesatte, e questo dal punto di vista della protezione dei dati personali significa dare un’immagine distorta dell’identità personale di qualcuno o trattare dati personali inesatti su quel qualcuno.
Il 20 marzo ChatGPT aveva subito una perdita di dati, questo ha fatto scattare i controlli?
Non c’è un rapporto diretto fra l’incidente e il provvedimento. Sicuramente quello è stato un campanellino d’allarme rispetto alle questioni che affrontiamo nel provvedimento, e ci ha portato a girare lo sguardo nella direzione della quantità importante di dati personali che viene raccolta da ChatGPT. E se mai si verificasse un altro incidente, quelle informazioni potrebbero finire anche in mani sbagliate, quindi si è pensato di approfondire il tema, ma ripeto, non c’è una relazione più stretta di così fra quell’incidente e questo provvedimento.
OpenAI ha 20 giorni di tempo per rispondere ai rilievi dell’Authority. Cosa è chiamata a fare, praticamente, per poter riattivare il servizio in Italia?
Il blocco è una espressione di sintesi che traduce in realtà un ordine. L’ordine dell’autorità dice ‘non puoi proseguire nel trattamento dei dati personali che stai trattando per fornire il servizio’. Quindi noi non ordiniamo tecnicamente il blocco che, se avverrà, sarà una conseguenza dell’impossibilità di OpenAI di rispettare il nostro provvedimento. Sarà quindi la società, preso atto del provvedimento e della sua portata, a dire ‘l’unica possibilità che ho per rispettare questo ordine è bloccare il servizio e renderlo inaccessibile almeno dall’Italia’.
Lo sottolineo: noi non possiamo e non abbiamo ordinato il blocco del servizio, perché non ci compete, possiamo e abbiamo ordinato il blocco del trattamento dei dati personali sotteso all’erogazione del servizio. Questo significa che l’unico destinatario del nostro ordine è OpenAI e non i cittadini italiani, quindi fintanto che il servizio resta utilizzabile chi vuole lo usa, e non sta violando il nostro ordine. Dopo di che, in astratto, se OpenAI fosse capace di continuare ad erogare il servizio, anche in Italia, senza nessun trattamento dei dati personali – ovviamente è un caso di scuola, nel senso che mi sembra praticamente impossibile – però certo il servizio potrebbe restare attivo anche dall’Italia, sarebbe semplicemente sospeso il trattamento dei dati personali e la società starebbe quindi adempiendo al nostro ordine.
Ordine rispetto al quale non è che OpenAI abbia libertà di scelta, se rispettarlo o no, se non lo rispetta pone in essere un ulteriore violazione, cioè un inadempimento. L’ordine è la paletta rossa alzata dal poliziotto, tu puoi scegliere di non fermarti, ma quello ti contesta la circostanza che non ti sei fermato, ed è una violazione ulteriore, e più grave.
Il blocco riguarda solo la versione open o anche quella Plus, acquistata già da diverse aziende anche italiane per integrare software interni?
Noi andiamo a monte e l’ordine è neutro rispetto ai servizi, che siano a pagamento, gratuiti, integrati o sulla piattaforma di OpenAI, riguarda infatti ogni tipo di servizio della società che presupponga un trattamento dei dati personali. Quindi se, come credo, anche i servizi integrati presuppongono il trattamento dei dati personali, anche quelli potrebbero essere spenti nelle prossime ore.
OpenAI rischia una multa di 20 mln di euro o fino al 4% del fatturato annuo. Se dovesse pagare, il servizio verrà riattivato?
La sanzione pecuniaria è una eventualità futura, a valle dell’istruttoria, che non ha niente a che vedere con la rimozione dell’ordine di sospensione del trattamento. Uno degli epiloghi possibili è che permanga l’ordine di sospensione di ogni trattamento dei dati personali, e in più si debba pagare la sanzione, non è che se paghi e basta vai avanti.
Più nel dettaglio, quello che faremo fra 20 giorni sarà analizzare le risposte che ci saranno trasmesse da OpenAI, e avremo modo di verificare se i dubbi che abbiamo avuto, per quanto già apparentemente fondati e che ci hanno portato ad adottare questo provvedimento d’urgenza, siano da confermare in tutto o in parte. Magari le risposte faranno venire meno alcune delle violazioni che abbiamo contestato, o magari ci porteranno a contestarne di diverse o di ulteriori.
A prescindere dall’ordine, entriamo in un procedimento ordinario che è volto ad accertare se e quali violazioni sulla disciplina della privacy OpenAI ha posto in essere.
L’Italia è stata la prima a sollevare il problema, sarà un esempio seguito da altri paesi?
L’esercizio è stato questo, ma che accada o non accada, è il brutto e il bello di essere pionieri. Potremmo non solo non essere seguiti ma forse anche criticati, o viceversa essere seguiti. La nostra azione nasce dal fatto che abbiamo ritenuto giusto intervenire, in applicazione della legge, senza porci il problema di cosa ne avrebbero pensato gli altri, o se qualcuno ci avrebbe seguito o meno.
Di sicuro però se ne discuterà nella Direzione europea.
