Il provvedimento n. 755 del 2 novembre 2024, pubblicato oggi, venerdì 20 dicembre, rappresenta una pietra miliare nel contesto della regolamentazione dell’intelligenza artificiale generativa in Europa. Esso evidenzia la necessità di un approccio rigoroso nel bilanciare innovazione tecnologica e tutela dei diritti fondamentali, in particolare per quanto riguarda la protezione dei dati personali.
Il provvedimento affronta molteplici criticità legate all’utilizzo di ChatGPT, una piattaforma basata su modelli linguistici di grandi dimensioni (Large Language Models, LLM), sviluppata da OpenAI. Il Garante ha rilevato violazioni significative della normativa europea sulla protezione dei dati, richiedendo interventi immediati e strutturali.
Le principali questioni giuridiche affrontate
1. Data breach e notifica all’autorità
Il Garante ha sottolineato la mancata notifica tempestiva del data breach del 20 marzo 2023, violando l’art. 33 del GDPR. Tale evento ha esposto informazioni personali, inclusi dati sensibili come dettagli di pagamento. OpenAI ha invece notificato l’incidente all’autorità irlandese, presumendo, erroneamente, una trasmissione automatica delle informazioni ad altri Paesi membri.
La mancata notifica diretta al Garante italiano ha compromesso la trasparenza e il controllo locale sul trattamento dei dati personali degli interessati italiani.
2. Assenza di una base giuridica chiara
Il trattamento dei dati personali per l’addestramento dei modelli di intelligenza artificiale non è stato sostenuto da una base giuridica conforme. OpenAI ha fatto riferimento al legittimo interesse, senza tuttavia fornire una valutazione adeguata prima dell’avvio del trattamento, contravvenendo all’art. 6 del GDPR.
Questo approccio retrospettivo nella giustificazione del trattamento evidenzia un deficit di accountability e pianificazione preventiva.
3. Informative carenti e scarsa trasparenza
La privacy policy di OpenAI, aggiornata al 14 marzo 2023, presentava gravi lacune:
- era disponibile solo in lingua inglese;
- era assente nei flussi iniziali di registrazione;
- mancava una distinzione tra trattamenti riferiti a utenti e non utenti.
Tale scarsa chiarezza informativa rappresenta una violazione degli artt. 12 e 13 del GDPR, con implicazioni sulla comprensione da parte degli interessati.
4. Protezione dei minori e age verification
Un punto di particolare rilievo è stata l’assenza di meccanismi efficaci per verificare l’età degli utenti, nonostante il servizio fosse accessibile a minorenni. Solo a seguito dell’intervento del Garante, OpenAI ha implementato soluzioni di verifica tramite Yoti, introducendo misure come la stima dell’età attraverso selfie. E la mancata tutela dei minori espone a rischi significativi, violando i principi sanciti dagli artt. 8 e 25 del GDPR.
Le misure correttive imposte
Il Garante ha imposto una serie di obblighi correttivi, tra cui:
- aggiornamento delle informative: pubblicazione di documenti chiari e localizzati;
- introduzione di strumenti per l’esercizio dei diritti degli interessati: inclusi diritto di opposizione e cancellazione;
- meccanismi di verifica dell’età: implementazione di soluzioni tecnologiche adeguate per limitare l’accesso ai minorenni;
- revisione della base giuridica: Passaggio a un modello basato sul consenso informato o su un legittimo interesse meglio definito.
Considerazioni conclusive
Questo provvedimento evidenzia l’importanza di un approccio proattivo e trasparente nella gestione dell’intelligenza artificiale. Le criticità emerse nel caso OpenAI sottolineano la necessità di un quadro normativo robusto e di una stretta collaborazione tra autorità e sviluppatori tecnologici.
Prospettiva futura: il caso ChatGPT costituisce un precedente significativo che richiede attenzione da parte di tutte le realtà impegnate nello sviluppo di tecnologie AI. Solo con un’adeguata pianificazione e conformità normativa si potrà garantire un equilibrio tra progresso tecnologico e rispetto dei diritti fondamentali.
Daniele Giordano
Ultimi post di Daniele Giordano (vedi tutti)
- Sul trattamento illecito di dati personali da parte dei sistemi di intelligenza artificiale - Dicembre 20, 2024
- L’intelligenza artificiale generale nel quadro dell’AI Act: analisi delle nuove FAQ della Commissione UE - Dicembre 9, 2024
- Un’analisi critica sulle pratiche di telemarketing - Dicembre 4, 2024
- Attiva la piattaforma ACN per la conformità alla Direttiva NIS - Dicembre 3, 2024
- Interpretazione e implicazioni delle Linee Guida EDPB 02/2024 sull’Articolo 48 GDPR - Dicembre 3, 2024