OpenAI e le norme sulla protezione dei dati dell’UE, dopo l’Italia altre restrizioni in arrivo
OpenAI è riuscita a rispondere positivamente alle autorità italiane per i dati e revocare l’effettivo divieto del paese su ChatGPT la scorsa settimana, ma la sua lotta contro i regolatori europei è tutt’altro che finita.
Tempo di lettura stimato: 9 minuti
A inizio 2023, il popolare e controverso chatbot ChatGPT di OpenAI ha incontrato un grosso problema legale: un divieto effettivo in Italia. L’Autorità italiana per la protezione dei dati (GPDP) ha accusato OpenAI di violare le norme sulla protezione dei dati dell’UE e la società ha accettato di limitare l’accesso al servizio in Italia mentre tentava di risolvere il problema. Il 28 aprile, ChatGPT è tornato nel paese , con OpenAI che ha affrontato con leggerezza le preoccupazioni di GPDP senza apportare modifiche sostanziali al suo servizio: un’apparente vittoria.
Risposta Garante Privacy Italiano
Il GPDP ha affermato di “accogliere con favore” le modifiche apportate da ChatGPT. Tuttavia, le questioni legali dell’azienda – e quelle delle aziende che costruiscono chatbot simili – sono probabilmente solo all’inizio. Le autorità di regolamentazione in diversi paesi stanno indagando su come questi strumenti di intelligenza artificiale raccolgono e producono informazioni, citando una serie di preoccupazioni dalla raccolta da parte delle aziende di dati di formazione senza licenza alla tendenza dei chatbot a diffondere disinformazione.
Unione Europea e GDPR
Nell’UE stanno applicando il regolamento generale sulla protezione dei dati (GDPR), uno dei quadri giuridici sulla privacy più solidi al mondo, i cui effetti probabilmente si sentiranno anche al di fuori dell’Europa. Nel frattempo, i legislatori europei stanno lavorando su una legge che affronterà in modo specifico l’intelligenza artificiale, probabilmente inaugurando una nuova era di regolamentazione per sistemi come ChatGPT.
Popolarità di ChatGPT
ChatGPT è uno degli esempi più popolari di intelligenza artificiale generativa, un termine generico che copre strumenti che producono testo, immagini, video e audio in base alle richieste dell’utente. Secondo quanto riferito, il servizio è diventato una delle applicazioni consumer in più rapida crescita nella storia dopo aver raggiunto 100 milioni di utenti attivi mensili in solo due mesi dopo il lancio nel novembre 2022 (OpenAI non ha mai confermato queste cifre).
Le persone lo usano per tradurre il testo in diverse lingue, scrivere saggi universitari e generare codice . Ma i critici, compresi i regolatori, hanno evidenziato l’output inaffidabile di ChatGPT, problemi di copyright confusi e pratiche oscure di protezione dei dati.
L’Italia è stato il primo paese a muoversi. Il 31 marzo, ha evidenziato quattro modi in cui riteneva che OpenAI stesse violando il GDPR:
- consentire a ChatGPT di fornire informazioni imprecise o fuorvianti,
- non informare gli utenti delle sue pratiche di raccolta dei dati,
- non soddisfare nessuna delle sei possibili giustificazioni legali per l’elaborazione dei dati personali e
- non impedire adeguatamente ai minori di 13 anni di utilizzare il servizio.
Europa ed extra-europa
Nessun altro paese ha intrapreso un’azione del genere. Ma da marzo, almeno tre nazioni dell’UE – Germania , Francia e Spagna – hanno avviato le proprie indagini su ChatGPT.
Nel frattempo, dall’altra parte dell’Atlantico, il Canada sta valutando i problemi di privacy ai sensi del suo Personal Information Protection and Electronic Documents Act, o PIPEDA. Il Comitato europeo per la protezione dei dati (EDPB) ha persino istituito una task force dedicata per aiutare a coordinare le indagini. E se queste agenzie richiedono modifiche a OpenAI, potrebbero influire sul funzionamento del servizio per gli utenti di tutto il mondo.
Le preoccupazioni dei regolatori possono essere ampiamente suddivise in due categorie:
- da dove provengono i dati di formazione di ChatGPT e
- come OpenAI fornisce informazioni ai suoi utenti.
ChatGPT utilizza i modelli di linguaggio di grandi dimensioni (LLM) GPT-3.5 e GPT-4 di OpenAI, che vengono addestrati su grandi quantità di testo prodotto dall’uomo. OpenAI è cauto su esattamente quale testo di addestramento viene utilizzato, ma afferma che attinge a “una varietà di fonti di dati concesse in licenza, create e disponibili pubblicamente, che possono includere informazioni personali disponibili pubblicamente”.
Consenso esplicito
Ciò pone potenzialmente enormi problemi ai sensi del GDPR. La legge è stata emanata nel 2018 e copre tutti i servizi che raccolgono o elaborano dati di cittadini dell’UE, indipendentemente da dove abbia sede l’organizzazione responsabile. Le regole del GDPR richiedono alle aziende di avere un consenso esplicito prima di raccogliere dati personali, di avere una giustificazione legale del motivo per cui vengono raccolti e di essere trasparenti su come vengono utilizzati e archiviati.
I regolatori europei affermano che la segretezza sui dati di addestramento di OpenAI significa che non c’è modo di confermare se le informazioni personali inserite siano state inizialmente fornite con il consenso dell’utente, e il GPDP ha specificamente sostenuto che OpenAI non aveva “alcuna base legale” per raccoglierle in primo luogo . Finora OpenAI e altri sono riusciti a farla franca con pochi controlli, ma questa affermazione aggiunge un grande punto interrogativo ai futuri sforzi di scraping dei dati.
Diritto all’oblio
Poi c’è il ” diritto all’oblio ” del GDPR, che consente agli utenti di richiedere alle aziende di correggere le proprie informazioni personali o di rimuoverle completamente. OpenAI ha aggiornato preventivamente la sua politica sulla privacy per facilitare tali richieste, ma si è discusso se sia tecnicamente possibile gestirle, dato quanto può essere complesso separare dati specifici una volta che sono stati inseriti in questi grandi modelli linguistici.
OpenAI raccoglie anche informazioni direttamente dagli utenti. Come qualsiasi piattaforma Internet, raccoglie una serie di dati utente standard (ad es. nome, informazioni di contatto, dettagli della carta, ecc.). Ma, cosa più significativa, registra le interazioni che gli utenti hanno con ChatGPT. Come affermato in una FAQ , questi dati possono essere esaminati dai dipendenti di OpenAI e vengono utilizzati per addestrare versioni future del suo modello. Date le domande intime che le persone pongono a ChatGPT, utilizzando il bot come terapista o medico, ciò significa che l’azienda sta raccogliendo tutti i tipi di dati sensibili.
Almeno alcuni di questi dati potrebbero essere stati raccolti da minori, poiché mentre la politica di OpenAI afferma che “non raccoglie consapevolmente informazioni personali da bambini di età inferiore ai 13 anni”, non esiste un rigoroso controllo dell’età. Ciò non funziona bene con le norme dell’UE, che vietano la raccolta di dati da persone di età inferiore ai 13 anni e (in alcuni paesi) richiedono il consenso dei genitori per i minori di 16 anni. Sul lato dell’output, il GPDP ha affermato che la mancanza di filtri di età di ChatGPT espone i minori a ” risposte assolutamente inadeguate rispetto al loro grado di sviluppo e di autocoscienza”.
Informazioni false
Anche la propensione di ChatGPT a fornire informazioni false può rappresentare un problema. I regolamenti GDPR stabiliscono che tutti i dati personali devono essere accurati, qualcosa che il GPDP ha evidenziato nel suo annuncio. A seconda di come viene definito, potrebbe significare problemi per la maggior parte dei generatori di testo AI, che sono inclini a ” allucinazioni “: un termine industriale carino per risposte effettivamente errate o irrilevanti a una query. Ciò ha già visto alcune ripercussioni nel mondo reale altrove, poiché un sindaco regionale australiano ha minacciato di citare in giudizio OpenAI per diffamazione dopo che ChatGPT ha affermato falsamente di aver scontato una pena detentiva per corruzione.
La popolarità di ChatGPT e l’attuale dominio sul mercato dell’intelligenza artificiale lo rendono un obiettivo particolarmente attraente, ma non c’è motivo per cui anche i suoi concorrenti e collaboratori, come Google con Bard o Microsoft con la sua Azure AI basata su OpenAI, non debbano affrontare il controllo. Prima di ChatGPT, l’Italia ha vietato la piattaforma di chatbot Replika per la raccolta di informazioni sui minori e finora è rimasta vietata.
Sebbene il GDPR sia un potente insieme di leggi, non è stato creato per affrontare problemi specifici dell’IA. Regole che , tuttavia, potrebbero essere all’orizzonte.
Artificial Intelligence Act
Nel 2021, l’UE ha presentato la sua prima bozza dell’Artificial Intelligence Act (AIA) , legislazione che lavorerà insieme al GDPR. L’atto disciplina gli strumenti di intelligenza artificiale in base al loro rischio percepito, da “minimo” (cose come i filtri antispam) a “alto” (strumenti di intelligenza artificiale per le forze dell’ordine o l’istruzione) o “inaccettabili” e quindi vietati (come un sistema di credito sociale). Dopo l’esplosione di modelli linguistici di grandi dimensioni come ChatGPT lo scorso anno, i legislatori stanno ora correndo per aggiungere regole per “modelli di base” e “Sistemi di intelligenza artificiale per scopi generici (GPAI)” – due termini per sistemi di intelligenza artificiale su larga scala che includono LLM – e potenzialmente classificare come servizi “ad alto rischio”.
I legislatori dell’UE hanno raggiunto un accordo provvisorio sull’AI Act il 27 aprile. Una commissione voterà la bozza l’11 maggio e la proposta finale è prevista per metà giugno. Quindi, il Consiglio europeo, il Parlamento e la Commissione dovranno risolvere eventuali controversie rimanenti prima di attuare la legge. Se tutto andrà liscio, potrebbe essere adottato entro la seconda metà del 2024, un po’ indietro rispetto all’obiettivo ufficiale delle elezioni europee del maggio 2024.
OpenAI ha ancora obiettivi da raggiungere. C’è tempo fino al 30 settembre per creare un limite di età più rigido per tenere fuori i minori di 13 anni e richiedere il consenso dei genitori per gli adolescenti minorenni più grandi. Se fallisce, potrebbe vedersi nuovamente bloccato. Ma ha fornito un esempio di ciò che l’Europa considera un comportamento accettabile per un’azienda di intelligenza artificiale, almeno fino a quando non saranno approvate nuove leggi.
Letture Correlate
Ercole Palmeri