L’Italia fornisce l’elenco di cose da fare a OpenAI per la revoca dell’ordine di sospensione di ChatGPT

L’Italia fornisce l’elenco di cose da fare a OpenAI per la revoca dell’ordine di sospensione di ChatGPT

Aprile 13, 2023 0 Di

Il garante italiano per la protezione dei dati ha stabilito cosa deve fare OpenAI per revocare un ordine contro ChatGPT emesso alla fine del mese scorso , quando ha affermato di sospettare che il servizio di chatbot AI violasse il regolamento generale sulla protezione dei dati (GDPR) dell’UE. e ha ordinato alla società con sede negli Stati Uniti di interrompere l’elaborazione dei dati dei locali.
Il GDPR dell’UE si applica ogni volta che i dati personali vengono elaborati e non c’è dubbio che grandi modelli linguistici come il GPT di OpenAI abbiano recuperato grandi quantità di materiale dall’Internet pubblico per addestrare i loro modelli di intelligenza artificiale generativa per essere in grado di rispondere in modo umano.
OpenAI ha risposto all’ordine dell’autorità italiana per la protezione dei dati personali bloccando rapidamente l’accesso a ChatGPT . In una breve dichiarazione pubblica, il CEO di OpenAI Sam Altman ha anche twittato la conferma di aver cessato di offrire il servizio in Italia, facendolo insieme al solito avvertimento di Big Tech secondo cui “pensiamo che stiamo seguendo tutte le leggi sulla privacy”.
Il Garante italiano è evidentemente di diverso avviso.
La versione breve della nuova richiesta di conformità del regolatore è questa: OpenAI dovrà diventare trasparente e pubblicare un avviso informativo che dettaglia il suo trattamento dei dati; deve adottare immediatamente il limite dell’età per impedire ai minori di accedere alla tecnologia e passare a misure di verifica dell’età più solide; deve chiarire la base giuridica che rivendica per il trattamento dei dati delle persone per addestrare la sua IA (e non può fare affidamento sull’esecuzione di un contratto, il che significa che deve scegliere tra consenso o interessi legittimi); deve anche fornire agli utenti (e non utenti) modalità per esercitare i diritti sui propri dati personali, inclusa la richiesta di correzioni della disinformazione generata su di loro da ChatGPT (oppure la cancellazione dei propri dati); deve inoltre fornire agli utenti la possibilità di opporsi al trattamento dei loro dati da parte di OpenAI per l’addestramento dei suoi algoritmi;
Il DPA ha dato a OpenAI una scadenza – il 30 aprile – per portare a termine la maggior parte di ciò. (La campagna di sensibilizzazione della radio locale, della TV e di Internet ha una tempistica leggermente più generosa del 15 maggio per essere attuata.)
C’è anche un po’ più di tempo per il requisito aggiuntivo di integrare una migliore tecnologia di controllo dell’età che sia più difficile da aggirare per i minori: occorre evitare accessi ai minori di 13 anni e filtrare quelli compresi tra 13 e 18 che necessitano del consenso dei genitori. Per fare questo OpenAI ha avuto tempo fino al 31 maggio.
In un comunicato stampa che descrive in dettaglio cosa deve fare OpenAI per revocare la sospensione temporanea su ChatGPT, ordinata due settimane fa quando l’autorità di regolamentazione ha annunciato che stava avviando un’indagine formale su sospette violazioni del GDPR, il garante scrive:

“OpenAI dovrà ottemperare entro il 30 aprile alle misure dettate dalla SA italiana in materia di trasparenza, diritto degli interessati — utenti e non utenti compresi — e base giuridica del trattamento per la formazione algoritmica affidata agli utenti ‘ dati. Solo in tal caso la SA italiana revocherà l’ordinanza che poneva una limitazione temporanea al trattamento dei dati degli utenti italiani, venendo meno l’urgenza alla base dell’ordinanza, in modo che ChatGPT sia nuovamente disponibile dall’Italia.
Entrando più in dettaglio su ciascuna delle “misure concrete” richieste, il DPA stabilisce che l’informativa obbligatoria deve descrivere “le modalità e la logica del trattamento dei dati richiesti per il funzionamento di ChatGPT insieme ai diritti concessi agli interessati (utenti e non utenti),” aggiungendo che “dovrà essere facilmente accessibile e collocato in modo tale da poter essere letto prima della registrazione al servizio”.
Agli utenti dall’Italia deve essere presentato questo avviso prima della registrazione e devono anche confermare di avere più di 18 anni, richiede inoltre. Mentre gli utenti che si sono registrati prima dell’ordine di arresto del trattamento dei dati del DPA dovranno visualizzare l’avviso quando accedono al servizio riattivato e devono anche essere spinti attraverso un limite di età per filtrare gli utenti minorenni.
Sulla questione della base giuridica legata al trattamento dei dati delle persone da parte di OpenAI per l’addestramento dei suoi algoritmi, il Garante ha ristretto a due le opzioni disponibili: consenso o legittimo interesse, stabilendo che deve rimuovere immediatamente ogni riferimento all’esecuzione di un contratto “in linea con il principio di responsabilità [del GDPR].” ( La politica sulla privacy di OpenAI attualmente cita tutti e tre i motivi, ma sembra basarsi maggiormente sull’esecuzione di un contratto per la fornitura di servizi come ChatGPT.)
“Ciò non pregiudicherà l’esercizio dei poteri investigativi ed esecutivi della SA a tale riguardo”, aggiunge, confermando di sospendere il giudizio sulla possibilità che i due motivi rimanenti possano essere utilizzati legalmente anche per gli scopi di OpenAI.
Inoltre, il GDPR fornisce agli interessati una serie di diritti di accesso, compreso il diritto alla correzione o alla cancellazione dei propri dati personali. Questo è il motivo per cui il regolatore italiano ha anche richiesto che OpenAI implementi strumenti in modo che gli interessati – il che significa sia utenti che non utenti – possano esercitare i propri diritti e ottenere la rettifica delle falsità che il chatbot genera su di loro. Oppure, se la correzione delle bugie generate dall’intelligenza artificiale su individui nominati risulta “tecnicamente irrealizzabile”, il DPA stabilisce che l’azienda deve fornire un modo per eliminare i propri dati personali.
“OpenAI dovrà mettere a disposizione strumenti facilmente accessibili per consentire ai non utenti di esercitare il proprio diritto di opporsi al trattamento dei propri dati personali in quanto invocato per il funzionamento degli algoritmi. Lo stesso diritto dovrà essere riconosciuto agli utenti se l’interesse legittimo viene scelto come base giuridica per il trattamento dei loro dati”, aggiunge, riferendosi a un altro dei diritti che il GDPR offre agli interessati quando viene invocato l’interesse legittimo come base giuridica per il trattamento dati personali.
Tutti i provvedimenti annunciati dal Garante sono contingenti, sulla base delle sue preoccupazioni preliminari. E il suo comunicato nota che le sue indagini formali – “per accertare possibili violazioni della normativa” – proseguono e potrebbero indurlo a decidere di adottare “misure aggiuntive o diverse se ciò si rivelasse necessario al termine dell’istruttoria in corso. “