Crediti immagine: Natasha Lomas/TechCrunch / concesso in licenza.

Alcuni giorni dopo che OpenAI ha annunciato una serie di controlli sulla privacy per il suo chatbot con intelligenza artificiale generativa, ChatGPT, il servizio è stato reso nuovamente disponibile agli utenti in Italia, risolvendo (per ora) un blocco normativo previsto in uno dei 27 stati membri dell’Unione Europea. anche se continua un’indagine locale sulla sua conformità alle norme regionali sulla protezione dei dati.

Al momento in cui scrivo, le persone che navigano su ChatGPT da un indirizzo IP italiano non vengono più accolte con la notifica che il servizio è “disabilitato per gli utenti in Italia”. Invece, vengono accolti con una nota in cui si afferma che OpenAI è “felice di riprendere a offrire ChatGPT in Italia”.

Il pop-up afferma quindi che gli utenti devono confermare di avere almeno 18 anni o 13 anni o più con il consenso di un genitore o tutore per utilizzare il servizio, facendo clic su un pulsante che dice “Rispondo ai requisiti di età di OpenAI”.

Il testo dell’avviso richiama inoltre l’attenzione sulla politica sulla privacy di OpenAI e si collega a un articolo del centro assistenza in cui la società afferma di fornire informazioni su “come sviluppiamo e addestriamo ChatGPT”.

Le modifiche al modo in cui OpenAI presenta ChatGPT agli utenti in Italia mirano a soddisfare una serie iniziale di condizioni stabilite dall’Autorità locale per la protezione dei dati (DPA) per consentirle di riprendere il servizio con rischio normativo gestito.

Un breve riepilogo della storia qui: alla fine del mese scorso, la società italiana Garante ha ordinato un ordine di arresto temporaneo dell’elaborazione su ChatGPT, affermando di essere preoccupata che i servizi violassero le leggi sulla privacy dell’UE Datas. Ha inoltre aperto un’indagine per presunte violazioni del Regolamento generale sulla protezione dei dati (GDPR).

OpenAI ha risposto rapidamente all’intervento geobloccando gli utenti con indirizzi IP italiani all’inizio di questo mese.

A questa decisione ha fatto seguito, poche settimane dopo, la pubblicazione da parte del Garante di un elenco di misure che OpenAI dovrà attuare affinché il provvedimento di sospensione venga revocato entro la fine di aprile – tra cui l’aggiunta di un limite di età per evitare che i minorenni possano accedendo al servizio. e modificare la base giuridica dichiarata per il trattamento dei dati degli utenti locali.

L’ente regolatore ha dovuto affrontare critiche politiche in Italia e altrove in Europa per il suo intervento. Sebbene non sia l’unica autorità per la protezione dei dati a esprimere preoccupazioni, le autorità di regolamentazione del blocco hanno concordato all’inizio di questo mese di lanciare un gruppo di lavoro focalizzato su ChatGPT con l’obiettivo di supportare le indagini e la cooperazione su qualsiasi applicazione.

In un comunicato stampa pubblicata oggi annunciando la ripresa del servizio in Italia, il Garante fa sapere che OpenAI gli ha inviato una lettera in cui dettaglia le misure attuate in risposta alla precedente ordinanza, scrivendo: “OpenAI ha spiegato di aver esteso l’informazione agli utenti europei e non , che ha modificato e chiarito diversi meccanismi e adottato soluzioni adeguate per consentire agli utenti e ai non utenti di esercitare i propri diritti. Sulla base di questi miglioramenti, OpenAI ha ripristinato l’accesso a ChatGPT per gli utenti italiani.

Elaborando più in dettaglio le misure adottate da OpenAI, la DPA afferma che OpenAI ha ampliato la sua politica sulla privacy e ha fornito agli utenti e ai non utenti maggiori informazioni sui dati personali trattati per addestrare i suoi algoritmi, anche stabilendo che ognuno ha il diritto di Annulla l’iscrizione. di tale trattamento – il che suggerisce che la società ora fa affidamento sulla rivendicazione degli interessi legittimi come base giuridica per il trattamento dei dati al fine di addestrare i suoi algoritmi (poiché questa base richiede di offrire un’opzione di non partecipazione).

Inoltre, il Garante rivela che OpenAI ha provveduto a consentire agli europei di chiedere che i propri dati non vengano utilizzati per addestrare l’IA (le richieste possono essere inviate tramite un modulo online) – e a fornire loro “meccanismi” per la cancellazione dei propri dati. .

Ha inoltre comunicato al regolatore di non essere in grado di correggere il problema dei chatbot che creano informazioni false su persone nominate in questa fase. Da qui l’introduzione di “meccanismi che consentono agli interessati di ottenere la cancellazione delle informazioni ritenute inesatte”.

Gli utenti europei che desiderano opporsi al trattamento dei propri dati personali per la formazione della propria IA possono farlo anche tramite un modulo messo a disposizione da OpenAI che, secondo il Garante, “filtrerà così le loro discussioni e la cronologia delle chat in base ai dati dati utilizzati per la formazione. algoritmi”.

L’intervento del Garante italiano ha quindi portato a notevoli cambiamenti nel livello di controllo che ChatGPT offre agli europei.

Detto questo, non è ancora chiaro se le modifiche che OpenAI si è affrettata a implementare andranno (o potranno) andare abbastanza lontano da affrontare tutte le preoccupazioni sollevate dal GDPR.

Ad esempio, non è chiaro se i dati personali degli italiani, storicamente utilizzati per addestrare il loro modello GPT, ovvero quando prelevavano dati pubblici da Internet, siano stati trattati su basi giuridicamente valide o, di fatto, se i dati utilizzati per addestrare i modelli in precedenza, verranno o potranno essere eliminati se gli utenti richiedono che i loro dati vengano eliminati ora.

La grande domanda rimane quale base giuridica avesse OpenAI per elaborare le informazioni delle persone, quando la società non era così aperta riguardo ai dati che utilizzava.

La società statunitense sembra sperare di dissipare le obiezioni sollevate su ciò che fa con le informazioni degli europei fornendo ora controlli limitati, applicati ai nuovi dati personali in arrivo, nella speranza che ciò offuschi la questione più ampia di tutti i dati personali a livello regionale. il trattamento viene effettuato storicamente.

Alla domanda sulle modifiche implementate, un portavoce di OpenAI ha inviato a TechCrunch questa dichiarazione riepilogativa:

ChatGPT è nuovamente disponibile per i nostri utenti in Italia. Siamo lieti di accoglierli nuovamente e continuiamo a impegnarci a proteggere la loro privacy. Abbiamo affrontato o chiarito le questioni sollevate dal Garante, tra cui:

Apprezziamo il Garante per la sua collaborazione e attendiamo con ansia il proseguimento di discussioni costruttive.

Nell’articolo del centro assistenza, OpenAI ammette di aver elaborato dati personali per addestrare ChatGPT, cercando di sostenere che in realtà non intendeva farlo, ma che gli elementi erano semplicemente in giro su Internet – o come dice lui: “Una grande quantità di dati su Internet riguarda le persone, quindi le nostre informazioni sulla formazione includono incidentalmente informazioni personali. Non cerchiamo attivamente informazioni personali per addestrare i nostri modelli.

Il che sembra un bel tentativo di eludere il requisito del GDPR secondo cui esiste una base giuridica valida per elaborare i dati personali trovati.

OpenAI approfondisce ulteriormente la sua difesa in una sezione (affermativamente) intitolata “In che modo lo sviluppo di ChatGPT è conforme alle leggi sulla privacy?” – in cui suggerisce di aver utilizzato legalmente i dati delle persone perché A) voleva che il suo chatbot fosse vantaggioso; B) non aveva scelta perché erano necessari molti dati per costruire la tecnologia AI; e C) afferma che non era destinato ad avere un impatto negativo sugli individui.

“Per questi motivi, basiamo la nostra raccolta e utilizzo delle informazioni personali incluse nelle Informazioni formative su interessi legittimi in conformità con le leggi sulla privacy come il GDPR”, scrive inoltre, aggiungendo: “Per adempiere ai nostri obblighi di conformità, abbiamo anche effettuato un trattamento dei dati valutazione dell’impatto sulla protezione per garantire che raccogliamo e utilizziamo queste informazioni in modo legale e responsabile.

Quindi, ancora una volta, la difesa di OpenAI da un’accusa di violazione della legge sulla protezione dei dati si riduce essenzialmente a: “Ma non intendevamo niente di male officiando!”

La sua spiegazione offre anche testo in grassetto per sottolineare l’affermazione che non utilizza questi dati per creare profili sugli individui; contattarli o fare pubblicità a loro; o provare a vendergli qualcosa. Nessuno di questi elementi è rilevante per stabilire se le sue attività di trattamento dei dati abbiano violato o meno il GDPR.

L’Autorità per la protezione dei dati italiana ci ha confermato che le sue indagini su questa importante questione stanno continuando.

Nel suo aggiornamento, il Garante sottolinea inoltre che si aspetta che OpenAI rispetti le ulteriori richieste contenute nell’ordinanza dell’11 aprile – segnalando l’obbligo di implementare un sistema di verifica dell’età (per impedire più rigorosamente l’accesso al servizio ai minori); e realizzare una campagna informativa locale per informare gli italiani su come trattano i propri dati e sul loro diritto di opporsi al trattamento dei propri dati personali per l’addestramento dei propri algoritmi.

“La SA Italiana [supervisory authority] riconosce i progressi compiuti da OpenAI nel conciliare i progressi tecnologici con il rispetto dei diritti delle persone e spera che l’azienda continui i suoi sforzi per conformarsi alla legislazione europea sulla protezione dei dati”, aggiunge, prima di sottolineare che questo è solo un primo passo. in questa danza normativa.

Ergo, qualsiasi affermazione di OpenAI di essere in buona fede al 100% deve ancora essere rigorosamente testata.