AI - Garante privacy

Con provvedimento del 30 marzo scorso, il Garante per la protezione dei dati personali ha disposto una limitazione dell’attività di Chat GPT, imponendo a OPEN AI LLC, società che sviluppa l’applicazione, la sospensione temporanea del servizio.

Il provvedimento ha natura cautelare, e contiene l’invito a comunicare, entro 20 giorni, le iniziative adottate per rimuovere le violazioni rilevate. Secondo l’Autorità, il servizio di chat bot viola la normativa in materia di trattamento dei dati sotto due aspetti: non contiene un adeguato processo di verifica dell’età degli utenti, e non offre un’adeguata informativa circa il trattamento dei dati acquisiti. La notizia ha destato qualche alzata di sopracciglio, alcune perplessità e occasionali, sommessi brontolìi. In realtà, chiunque abbia familiarità con il contenuto del GDPR vedrà che non c’è motivo di scandalizzarsi. Prima di chiarire il motivo per cui si ritiene che la scelta dell’Autorità sia del tutto condivisibile, vale la pena di ricordare il senso e la finalità della disciplina contenuta nel GDPR. Il Regolamento, infatti, riguarda il come trattare i dati: assume cioè quale presupposto che il trattamento dei dati rientri nella fisiologia della realtà contemporanea, e che dunque tale attività debba essere disciplinata per evitare abusi.

Uno dei principi cardine del GDPR si può riassumere così: il trattamento dei dati personali avviene ogniqualvolta esiste una base giuridica e il soggetto interessato ha avuto adeguata informazione in merito all’attività di trattamento. Quanto alla base giuridica, può essere legale o pattizia: in altre parole, per quello che interessa qui, il trattamento è sempre lecito se autorizzato dall’interessato (è il motivo per cui passiamo una considerevole quantità di tempo ad accettare cookie). Quanto all’informativa, invece: è sempre necessaria, e deve rispecchiare il contenuto dettagliatamente descritto negli articoli 13 e 14 del GDPR. Questo sintetico riepilogo già consente di comprendere le ragioni del Garante.

L’AI sottesa a CHAT GPT, infatti, deve acquisire una quantità sempre crescente di informazioni per poter migliorare la propria resa. Queste informazioni vengono naturalmente offerte degli utenti: fino a qui è tutto molto chiaro. Tuttavia, rimangono aperti alcuni rilevanti interrogativi: quali informazioni acquisisce Chat GPT? Come? E in che modo vengono anonimizzate? E in che termini vengono utilizzate per la profilazione degli utenti? E, soprattutto: poiché l’autenticazione può avvenire con il sistema SSO (simple sign on), quindi tramite altri servizi quali Google, Facebook e simili, quali e quanti dati vengono scambiati tra Chat GPT e questi soggetti? E con quale finalità? E quanto e come vengono conservati? E come se ne può ottenere la cancellazione o la rettifica? E in che modo Chat GPT può profilare l’utente attraverso, per esempio, le sue abitudini di navigazione?

Poiché a quanto risulta queste informazioni non vengono comunicate all’utente all’atto dell’autenticazione, appare del tutto coerente con la normativa Eurounitaria la scelta del Garante di sospendere l’attività del Chat Bot finché la società che fornisce il servizio non offrirà tutte le informazioni necessarie alla tutela degli utenti. Analogamente, data la mole di dati che questi software devono acquisire, la necessità di garantire in modo chiaro ed efficace la tutela dei minori non può essere sottovalutata, e pare corretto chiedere solide rassicurazioni al riguardo.

Il che, ben lungi dal rappresentare una forma di luddismo del ventunesimo secolo, come paventato da qualche incauto commentatore, integra invece una necessaria forma di tutela del diritto alla riservatezza, che, nell’Unione europea, è considerato un diritto fondamentale, come stabilisce l’articolo 8 della Carta dei diritti fondamentali dell’Unione Europea.