Immagina di accedere al tuo strumento di lavoro più prezioso quando arrivi al lavoro, solo per essere accolto da questo:
“ChatGPT disabilitato per gli utenti in Italia
Gentile cliente ChatGPT,
Siamo spiacenti di informarti che abbiamo disabilitato ChatGPT per gli utenti in Italia su richiesta del Garante italiano.
Screenshot da OpenAI, aprile 2023
OpenAI ha dato agli utenti italiani questo messaggio a seguito di un'indagine del Garante per la protezione dei dati personali. Il Garante cita specifiche violazioni come segue:
- OpenAI non ha informato correttamente gli utenti che ha raccolto dati personali.
- OpenAI non ha fornito un motivo legale per raccogliere informazioni personali per addestrare il suo algoritmo.
- ChatGPT elabora le informazioni personali in modo impreciso senza l'uso di fatti reali.
- OpenAI non richiedeva agli utenti di verificare la propria età, anche se il contenuto generato da ChatGPT è destinato a utenti di età superiore ai 13 anni e richiede il consenso dei genitori per i minori di 18 anni.
In effetti, un intero paese ha perso l'accesso a una tecnologia altamente utilizzata perché il suo governo teme che i dati personali vengano gestiti in modo improprio da un altro paese e che la tecnologia non sia sicura per il pubblico più giovane.
Diletta De Cicco, legale con sede a Milano per la privacy dei dati, la sicurezza informatica e le risorse digitali con Squire Patton Boggs, ha osservato:
“Non a caso, la decisione del Garante è arrivata subito dopo che una violazione dei dati ha interessato le conversazioni degli utenti e i dati forniti a OpenAI.
Arriva anche in un momento in cui le IA generative si stanno facendo strada nel grande pubblico a un ritmo veloce (e non sono adottate solo dagli utenti esperti di tecnologia).
Un po' più sorprendentemente, mentre il comunicato stampa italiano fa riferimento al recente incidente di violazione, non vi è alcun riferimento a quello nella decisione italiana per giustificare il divieto temporaneo, che si basa su: inesattezza dei dati, mancanza di informazioni agli utenti e alle persone in generale, verifica dell'età mancante per i bambini e mancanza di base giuridica per i dati sulla formazione.
Sebbene OpenAI LLC operi negli Stati Uniti, deve rispettare il Codice italiano in materia di protezione dei dati personali perché gestisce e archivia le informazioni personali degli utenti in Italia.
Il Codice sulla protezione dei dati personali è stata la principale legge italiana in materia di protezione dei dati privati fino a quando l'Unione europea non ha promulgato il Regolamento generale sulla protezione dei dati (GDPR) nel 2018. La legge italiana è stata aggiornata per adeguarsi al GDPR.
Cos'è il GDPR?
Il GDPR è stato introdotto nel tentativo di proteggere la privacy delle informazioni personali nell'UE. Le organizzazioni e le imprese che operano nell'UE devono rispettare le normative GDPR sulla gestione, l'archiviazione e l'utilizzo dei dati personali.
Se un'organizzazione o azienda ha bisogno di gestire le informazioni personali di un utente italiano, deve rispettare sia il Codice italiano in materia di protezione dei dati personali che il GDPR.
In che modo ChatGPT può infrangere le regole del GDPR?
Se OpenAI non può provare la sua causa contro il Garante italiano, potrebbe innescare ulteriori controlli per violazione delle linee guida GDPR relative a quanto segue:
- ChatGPT memorizza l'input dell'utente, che può contenere informazioni personali degli utenti dell'UE (come parte del suo processo di formazione).
- OpenAI consente ai formatori di visualizzare le conversazioni ChatGPT.
- OpenAI consente agli utenti di eliminare i propri account ma afferma che non possono eliminare prompt specifici. Rileva che gli utenti non devono condividere informazioni personali sensibili nelle conversazioni ChatGPT.
OpenAI offre motivi legali per l'elaborazione delle informazioni personali dallo Spazio economico europeo (che include i paesi dell'UE), Regno Unito e utenti svizzeri nella sezione nove dell'Informativa sulla privacy.
La pagina Termini di utilizzo definisce il contenuto come l'input (la tua richiesta) e l'output (la risposta AI generativa). Ogni utente di ChatGPT ha il diritto di utilizzare i contenuti generati utilizzando gli strumenti OpenAI personalmente e commercialmente.
OpenAI informa gli utenti dell'API OpenAI che i servizi che utilizzano i dati personali dei residenti nell'UE devono rispettare il GDPR, il CCPA e le leggi sulla privacy locali applicabili per i propri utenti.
Man mano che ogni IA si evolve, il contenuto di IA generativa può contenere input dell'utente come parte dei suoi dati di addestramento, che possono includere informazioni personali sensibili provenienti da utenti di tutto il mondo.
Rafi Azim-Khan, Global Head of Data Privacy and Marketing Law per Pillsbury Winthrop Shaw Pittman LLP, ha commentato:
“Le recenti leggi proposte in Europa (AI Act) hanno attirato l'attenzione, ma spesso può essere un errore trascurare altre leggi già in vigore che possono essere applicate, come il GDPR.
L'azione esecutiva del regolatore italiano contro OpenAI e ChatGPT questa settimana ha ricordato a tutti che leggi come il GDPR hanno un impatto sull'uso dell'IA".
Azim-Khan ha anche indicato potenziali problemi con le fonti di informazioni e dati utilizzati per generare risposte ChatGPT.
"Alcuni dei risultati dell'intelligenza artificiale mostrano errori, quindi ci sono preoccupazioni sulla qualità dei dati estratti da Internet e/o utilizzati per addestrare la tecnologia", ha osservato. "Il GDPR conferisce agli individui il diritto di correggere gli errori (così come CCPA/CPRA in California)."
Che dire del CCPA, comunque?
OpenAI affronta i problemi di privacy per gli utenti della California nella sezione cinque della sua politica sulla privacy.
Divulga le informazioni condivise con terze parti, inclusi affiliati, fornitori, fornitori di servizi, forze dell'ordine e parti coinvolte nelle transazioni con i prodotti OpenAI.
Queste informazioni includono il contatto dell'utente e i dettagli di accesso, l'attività di rete, il contenuto e i dati di geolocalizzazione.
In che modo ciò potrebbe influire sull'utilizzo di Microsoft in Italia e nell'UE?
Per risolvere i problemi relativi alla privacy dei dati e al GDPR, Microsoft ha creato il Trust Center.
Gli utenti Microsoft possono saperne di più su come i loro dati vengono utilizzati sui servizi Microsoft, inclusi Bing e Microsoft Copilot, che funzionano con la tecnologia OpenAI.
Gli utenti di IA generativa dovrebbero preoccuparsi?
“La linea di fondo è questa [the Italian Garante case] potrebbe essere la punta dell'iceberg mentre altri esecutori danno un'occhiata più da vicino ai modelli di intelligenza artificiale", afferma Azim-Khan.
“Sarà interessante vedere cosa faranno le altre autorità europee per la protezione dei dati personali”, se seguiranno immediatamente il Garante o piuttosto adotteranno un approccio attendista”, aggiunge De Cicco. "Si sarebbe sperato di vedere una risposta comune dell'UE a una questione così delicata dal punto di vista sociale".
Se il Garante italiano vince la sua causa, altri governi potrebbero iniziare a indagare su più tecnologie, inclusi i colleghi e i concorrenti di ChatGPT, come Google Bard, per vedere se violano linee guida simili per la sicurezza dei dati personali e del pubblico più giovane.
“Altri divieti potrebbero seguire quello italiano”, dice Azim-Khan. Come minimo, potremmo vedere gli sviluppatori di intelligenza artificiale dover eliminare enormi set di dati e riaddestrare i loro robot.
Immagine di presentazione: pcruciatti/Shutterstock
