L'autorità italiana di vigilanza sulla protezione dei dati ha spiegato cosa deve fare OpenAI per poter revocare un'ordinanza contro ChatGPT emessa alla fine del mese scorso – quando ha affermato di sospettare che il servizio chatbot AI stesse violando il regolamento generale sulla protezione dei dati (GDPR) dell'UE e ha ordinato agli Stati Uniti società con sede a cessare il trattamento dei dati presso la sede.
Il GDPR dell’UE si applica ogni volta che vengono elaborati dati personali, e non c’è dubbio che grandi modelli linguistici come il GPT di OpenAI abbiano recuperato grandi quantità di dati dall’Internet pubblica per addestrare i loro modelli di intelligenza artificiale generativa a essere in grado di rispondere in modo umano. come un modo per accedere ai suggerimenti del linguaggio naturale.
OpenAI ha risposto all'ordinanza del Garante italiano per la protezione dei dati personali bloccando rapidamente l'accesso a ChatGPT. In una breve dichiarazione pubblica, anche il CEO di OpenAI Sam Altman twittato conferma di aver smesso di offrire il servizio in Italia, oltre al consueto avvertimento di Big Tech che “pensa[s] rispettiamo tutte le leggi sulla privacy.
Il Garante italiano ovviamente è di diverso avviso.
La versione breve del nuovo requisito di conformità del regolatore è la seguente: OpenAI dovrà essere trasparente e pubblicare un avviso informativo che descriva in dettaglio il trattamento dei dati; deve adottare immediatamente lo screening dell’età per impedire ai minori l’accesso alla tecnologia e passare a misure più rigorose di verifica dell’età; deve chiarire la base giuridica che rivendica per il trattamento dei dati delle persone al fine di addestrare la propria intelligenza artificiale (e non può fare affidamento sull’esecuzione di un contratto – il che significa che deve scegliere tra consenso o interessi legittimi); deve inoltre fornire agli utenti (e non utenti) modalità per esercitare i propri diritti sui propri dati personali, in particolare richiedendo la correzione delle informazioni errate generate su di loro da ChatGPT (o facendo cancellare i loro dati); deve inoltre offrire agli utenti la possibilità di opporsi al trattamento dei loro dati da parte di OpenAI per l'addestramento dei suoi algoritmi; e deve portare avanti una campagna di sensibilizzazione locale per informare gli italiani che elabora le loro informazioni per formare le proprie IA.
La DPA ha dato a OpenAI una scadenza – 30 aprile – per completare la maggior parte di questo lavoro. (La campagna di sensibilizzazione radiofonica, televisiva e internet locale ha un calendario leggermente più generoso, il 15 maggio, da attuare.)
C’è anche un po’ più di tempo perché il requisito aggiuntivo passi dalla tecnologia di verifica dell’età immediatamente richiesta (ma debole) per la sicurezza dei bambini a un sistema di verifica dell’età più difficile da eludere. OpenAI ha avuto tempo fino al 31 maggio per presentare un piano per implementare la tecnologia di verifica dell'età per filtrare gli utenti di età inferiore ai 13 anni (e gli utenti di età compresa tra 13 e 18 anni che non hanno ottenuto il consenso dei genitori): è stata fissata la scadenza per l'implementazione di questo sistema più robusto. entro il 30 settembre.
In un comunicato stampa Dettagliando cosa deve fare OpenAI per poter revocare la sospensione temporanea di ChatGPT, disposta due settimane fa quando l'autorità di regolamentazione ha annunciato l'apertura di un'indagine formale su presunte violazioni del GDPR, scrive:
OpenAI dovrà adeguarsi entro il 30 aprile alle misure previste dalle SA italiane [supervisory authority] in materia di trasparenza, diritti degli interessati – compresi utenti e non utenti – e base giuridica del trattamento per l’addestramento algoritmico basato sui dati degli utenti. Solo in questo caso la SA italiana revocherà l'ordinanza che limitava temporaneamente il trattamento dei dati degli utenti italiani, venendo meno l'urgenza alla base dell'ordinanza, così che ChatGPT sia nuovamente disponibile dall'Italia.
Approfondendo ciascuna delle “misure concrete” richieste, il Garante prevede che l'informativa obbligatoria debba descrivere “le modalità e la logica del trattamento dei dati necessaria per il funzionamento di ChatGPT nonché i diritti riconosciuti agli interessati ( utenti e non utenti).utenti)”, aggiungendo che “deve essere facilmente accessibile e posizionato in modo da poter essere letto prima della registrazione al servizio”.
Gli utenti italiani devono ricevere questo avviso prima di registrarsi e anche confermare di avere più di 18 anni, ciò richiede inoltre. D'altro canto, gli utenti che si sono registrati prima del provvedimento di blocco del trattamento dei dati del Garante dovranno ricevere l'avviso al momento dell'accesso al servizio riattivato e dovranno anche essere spinti a superare la barriera dell'età per filtrare gli utenti minorenni.
Riguardo alla questione della base giuridica relativa al trattamento dei dati personali da parte di OpenAI per addestrare i propri algoritmi, il Garante ha ridotto a due le opzioni disponibili: consenso o legittimo interesse, prevedendo di dover rimuovere immediatamente ogni riferimento all'esecuzione di un contratto” in conformità al [GDPR’s] principio di responsabilità. (Informativa sulla privacy di OpenAI attualmente cita tutti e tre i motivi, ma sembra basarsi maggiormente sull'esecuzione di un contratto per la fornitura di servizi come ChatGPT.)
“Ciò non pregiudicherà l'esercizio dei poteri investigativi ed esecutivi della SA a questo riguardo”, aggiunge, confermando che si asterrà dal pronunciarsi sulla questione se i due motivi rimanenti possano essere legalmente utilizzati anche per scopi OpenAI.
Inoltre, il GDPR fornisce agli interessati una serie di diritti di accesso, compreso il diritto alla rettifica o alla cancellazione dei propri dati personali. Questo è il motivo per cui il regolatore italiano ha richiesto anche a OpenAI di implementare strumenti che consentano agli interessati – cioè utenti e non utenti – di esercitare i propri diritti e di far rettificare le falsità generate dal chatbot su di loro. Oppure, se correggere le falsità generate dall’intelligenza artificiale su individui nominati si rivela “tecnicamente irrealizzabile”, la DPA afferma che la società deve fornire un mezzo per cancellare i loro dati personali.
“OpenAI deve fornire strumenti facilmente accessibili per consentire ai non utenti di esercitare il proprio diritto di opposizione al trattamento dei propri dati personali su cui si basa il funzionamento degli algoritmi. Lo stesso diritto deve essere concesso agli utenti se si sceglie l’interesse legittimo come base giuridica per il trattamento dei loro dati”, aggiunge, riferendosi a un altro dei diritti che il GDPR riconosce agli interessati quando viene invocato l’interesse legittimo come legale base per il trattamento. dati personali.
Tutte le misure annunciate dal Garante sono contingenze, sulla base delle sue preoccupazioni preliminari. E il suo comunicato stampa rileva che le sue indagini formali – “per accertare eventuali violazioni della legislazione” – continuano e potrebbero portare a decidere di adottare “misure aggiuntive o diverse se ciò si rivelerà necessario al termine dell’”esercizio investigativo in corso”. »
Abbiamo contattato OpenAI per una risposta, ma la società non ha risposto alla nostra email al momento della pubblicazione.