Nel contesto delle recenti disposizioni del Garante della Privacy, si constata che la società OpenAI è stata destinataria di un provvedimento di limitazione provvisoria del trattamento, già emesso nel marzo 2023, come documentato nelle notizie relative al Garante della Privacy e Chat-GPT.
In seguito all’istruttoria condotta, l’Autorità ha individuato elementi che potrebbero configurare uno o più illeciti ai sensi del Regolamento UE in materia di trattamento dei dati personali.
OpenAI è ora tenuta a presentare, entro un termine di 30 giorni, le proprie difese riguardo alle presunte violazioni contestate.
Nel processo di definizione del procedimento, il Garante terrà in considerazione le attività in corso all’interno della speciale task force istituita dal Board che riunisce le Autorità di protezione dati dell’Unione Europea (EDPB).
Per quanto concerne il merito della questione, l’autorità non ha ancora reso pubbliche informazioni. Tuttavia, basandosi su altre iniziative pubbliche in settori correlati come il web scraping, è probabile che l’autorità ritenga OpenAI responsabile della raccolta di dati personali in Italia, “esportandoli” negli Stati Uniti e elaborandoli a fini di lucro senza una base legale.
Effettivamente i contenuti pubblicati da singoli (compresi i loro dati personali) dovrebbero essere semplicemente consultati e non riutilizzati a scopo di lucro senza almeno compensare i titolari dei diritti o ottenere una sorta di licenza. A questo proposito, altri attori come Meta e Google potrebbero avere una posizione diversa, poiché i loro termini e condizioni consentono una maggiore latitudine nell’elaborazione dei contenuti generati dagli utenti per scopi diversi dalla fornitura di un servizio specifico.
Inoltre, OpenAI (come altri fornitori di intelligenza artificiale) ha raschiato l’intero Internet per raccogliere dati nell’ambito di un’attività commerciale, non per scopi “puri'” di ricerca. La difesa che i fornitori di intelligenza artificiale stanno usando nei processi negli Stati Uniti è il c.d. “fair use“, ma il fair use è legato al copyright e funziona solo per opere creative (cioè artistiche). Ma il fair use del copyright è in qualche modo simile all’interesse legittimo del GDPR. Quindi, se la questione è effettivamente soggetta al GDPR, il punto cruciale è bilanciare gli interessi commerciali di un’azienda contro la libertà e i diritti fondamentali delle persone.
Il problema da risolvere, quindi, è se il raschiamento e l’elaborazione dei dati da parte di OpenAI, almeno in termini di minacce, violino i diritti fondamentali dei cittadini dell’UE. È compito delle autorità di protezione dei dati fornire prove solide per tali affermazioni, poiché non sarebbe possibile attenersi a riflessioni generali sui ‘pericoli dell’IA’ e inferire una qualche forma di responsabilità legale. Sarà interessante vedere come la DPA soddisferà il suo onere della prova.
Daniele Giordano
Ultimi post di Daniele Giordano (vedi tutti)
- Protezione dei Dati e Gig Economy: Analisi del Provvedimento del Garante n. 675/2024 su Foodinho e Glovo - Novembre 22, 2024
- Verso una regolamentazione consapevole: analisi del Codice di Buone Pratiche sull’intelligenza artificiale generale - Novembre 15, 2024
- La Direttiva (UE) 2024/2831: un passo avanti per le condizioni di lavoro sulle piattaforme digitali - Novembre 12, 2024
- Domicilio digitale e notifiche telematiche: l’ordinanza n. 28532/2024 della Corte di Cassazione - Novembre 7, 2024
- Il nuovo quadro di protezione dati UE-USA: valutazione critica del rapporto dell’EDPB del 4 novembre 2024 - Novembre 5, 2024