Continua la vicenda ChatGPT e con il provvedimento n. 114 dell’11 aprile 2023 la nostra Autorità Garante in considerazione della manifestata disponibilità a collaborare da parte di Open AI al fine di tutelare i diritti e le libertà degli interessati chiede il rispetto di una serie di misure non tutte semplici da realizzare al fine di consentire la riattivazione dell’applicazione.
In particolare Open AI dovrà pubblicare sul proprio sito internet un’informativa che, nei termini e con le modalità di cui all’art. 12 del GDPR, spieghi agli interessati anche diversi dagli utenti del servizio ChatGPT, i cui dati sono stati raccolti e trattati ai fini dell’addestramento degli algoritmi, le modalità del trattamento, la logica alla base del trattamento necessario al funzionamento del servizio, i diritti loro spettanti in qualità di interessati e ogni altra informazione prevista dal Regolamento. Adempimento questo che non dovrebbe presentare particolari difficoltà, sebbene poi si dovrà sempre capire se quanto dichiarato nell’informativa risponda al vero.
Al di là però della mera informativa, il nostro Garante richiede anche la predisposizione di strumenti specifici di compliance come quello attraverso il quale gli interessati possano esercitare il diritto di opposizione rispetto ai trattamenti dei propri dati personali, ottenuti da terzi, svolti dalla società ai fini dell’addestramento degli algoritmi e dell’erogazione del servizio oppure possano ottenere la correzione di eventuali dati personali che li riguardano trattati in maniera inesatta nella generazione dei contenuti o, qualora ciò risulti impossibile allo stato della tecnica, la cancellazione dei propri dati personali.
Prettamente formale è invece la misura richiesta di inserire un link all’informativa rivolta agli utenti dei propri servizi nel flusso di registrazione in una posizione che ne consenta la lettura prima di procedere alla registrazione, in caso di primo accesso successivo all’eventuale riattivazione del servizio, come anche la modifica della base giuridica del trattamento dei dati personali degli utenti ai fini dell’addestramento degli algoritmi nel consenso o nel legittimo interesse in relazione alle valutazioni di competenza della società in una logica di accountability. Quest’ultimo aspetto mi lascia un po’ perplesso poiché vedo davvero difficile configurare nel caso di specie come base giuridica un legittimo interesse del titolare. Probabilmente anche l’Autorità non crede molto in quest’ultima base giuridica in quanto qualora sia stato scelto dal titolare il legittimo interesse prevede come misura da realizzare obbligatoriamente anche la predisposizione di uno specifico strumento attraverso il quale consentire agli interessati di esercitare il diritto di opposizione al trattamento dei propri dati acquisiti in sede di utilizzo del servizio per l’addestramento degli algoritmi.
Altra misura che il Garante ritiene imprescindibile per la riattivazione del servizio è quella di inserire la richiesta a tutti gli utenti che si collegano dall’Italia, ivi inclusi quelli già registrati, di superare, in sede di primo accesso, un age gate che escluda, sulla base dell’età dichiarata, gli utenti minorenni.
Inoltre il Garante nel pieno rispetto del principio di accountability richiede ad Open AI anche ulteriori attività quali la predisposizione di un piano per l’adozione di strumenti di age verification idoneo a escludere l’accesso al servizio agli utenti infratredicenni e a quelli minorenni in assenza di un’espressa manifestazione di volontà da parte di chi esercita sugli stessi la responsabilità genitoriale e la promozione entro il 15 maggio 2023, di una specifica campagna di informazione, di natura non promozionale, su tutti i principali mezzi di comunicazione di massa italiani (radio, televisione, giornali e Internet) i cui contenuti andranno concordati con il Garante, allo scopo di avvisare gli utenti circa le conseguenze dell’utilizzo di ChatGPT.
Comunque a prescindere dalle precise indicazioni fornite dalla nostra Autorità l’intera questione sorta con la diffusione di ChatGPT ed il relative clamore ha fatto comprendere quanto siano rilevanti le diverse problematiche da affrontare nel campo dell’intelligenza artificiale. Del resto, come noto, gli stessi Garanti della privacy europei, riuniti nel Comitato europeo per la protezione dei dati (EDPB), hanno deciso di lanciare una task force su ChatGPT.
Possiamo, quindi, affermare che la protezione della dignità umana e la tutela dei diritti umani e delle libertà fondamentali, in particolare il diritto alla protezione dei dati personali, sono essenziali nello sviluppo e nell’adozione di applicazioni di IA che possono avere conseguenze sugli individui e la società. Ciò è particolarmente importante quando le applicazioni di IA vengono utilizzate nei processi decisionali, ma non solo.
Lo sviluppo dell'IA fondato sul trattamento di dati personali deve basarsi su quei principi basilari che sono: liceità, correttezza, specificazione della finalità, proporzionalità del trattamento, protezione dei dati fin dalla progettazione (privacy by design) e protezione per impostazione predefinita (privacy by default), responsabilità e dimostrazione della conformità (accountability), trasparenza, sicurezza dei dati e gestione dei rischi.
Un’innovazione responsabile nel settore dell'IA necessita anche di un approccio incentrato sulla prevenzione e attenuazione dei potenziali rischi del trattamento dei dati personali. Deve essere adottata una prospettiva più ampia quanto alle possibili conseguenze derivanti dal trattamento dei dati. Tale prospettiva dovrebbe considerare non solo i diritti umani e le libertà fondamentali, ma anche il funzionamento delle democrazie e i valori sociali ed etici.
Naturalmente le applicazioni di IA devono sempre rispettare pienamente i diritti degli interessati e devono consentire un controllo significativo da parte degli interessati sul trattamento dei dati e sulle conseguenze correlate per gli individui e la società.
E’ naturale, quindi, che gli sviluppatori, i produttori e i fornitori di servizi di IA devono valutare le possibili conseguenze negative delle applicazioni IA sui diritti umani e le libertà fondamentali e, alla luce di tali conseguenze, adottare un approccio precauzionale basato su appropriate misure di prevenzione e attenuazione dei rischi.
Gli stessi sviluppatori di IA, partendo dal presupposto che i sistemi più avanzati non possono prescindere da una base di conoscenza di un certo rilievo, devono vagliare accuratamente la qualità, la natura, l'origine e la quantità di dati personali utilizzati, riducendo i dati inutili, ridondanti o marginali durante lo sviluppo e le fasi di addestramento e poi monitorando l'accuratezza del modello man mano che viene alimentato con nuovi dati.
Le applicazioni di IA dovrebbero essere fondate sui diritti umani e ispirate a considerazioni di natura etica e sociale, nonché all’individuazione di potenziali pregiudizi (biases). Tali aspetti, come ho già avuto modo di affermare, si rivelano fondamentali non solo e non tanto per tutelare la riservatezza degli individui, ma per evitare gravi effetti distorsivi di tali sistemi avanzati che possono andare ben al di là delle previsioni degli stessi sviluppatori.